Троянский конь в Chrome: данные банков Латинской Америки в руках расширения ParaSiteSnatcher

Компания Trend Micro обнаружила вредоносное расширение для Google Chrome под названием ParaSiteSnatcher, которое нацелено на пользователей в Латинской Америке, в частности в Бразилии. Расширение позволяет злоумышленникам отслеживать, манипулировать и похищать чувствительную информацию из различных источников, включая финансовые данные и данные банковских счетов.

Отмечается, что помимо Google Chrome, расширение может работать на других Chromium-браузерах, включая новые версии Microsoft Edge, Brave и Opera. ParaSiteSnatcher также потенциально может быть совместимо с Firefox и Safari, но только при внесении изменений в исходный код расширения, чтобы адаптировать его для работы в этих браузерах.

Согласно отчёту Trend Micro, ParaSiteSnatcher использует API браузера Chrome для перехвата и эксфильтрации всех POST-запросов, содержащих конфиденциальную информацию, до инициации TCP-соединения. Особенно под угрозой находятся данные, связанные с крупнейшими бразильскими банками Banco do Brasil и Caixa Econômica Federal, а также операции в местной системе мгновенных платежей PIX и платежи через метод Boleto Bancario. Также обнаружено похищение бразильских ИНН и cookie-файлов, в том числе тех, которые используются для учетных записей Microsoft​​.

ParaSiteSnatcher распространяется через загрузчик на VBScript, размещенный на Dropbox и Google Cloud. Выявлено 3 варианта загрузчика, отличающихся уровнем обфускации и сложности:

• Вариант 1. Простой, без обфускации полезной нагрузки, что упрощает анализ;
• Вариант 2. Использует технику Reverse String для обфускации критических строк;
• Вариант 3. Включает дополнительные техники обфускации, защиту от отладки и вмешательства, а также использование случайно сгенерированных имен для переменных и функций​​.

Для установки связи с сервером управления и контроля (Command and Control, C2), вредоносное ПО отправляет GET-запрос на адрес hxxps[:]//storage.googleapis[.]com/98jk3m5azb/-. Ответ сервера представляет собой обфусцированный список URL, который затем деобфусцируется с помощью серии манипуляций со строками, возвращая строку в исходный порядок и заменяя определенные символы их правильными аналогами для восстановления URL.

Использование вредоносных расширений Google Chrome путем использования API Chrome способами, специально предназначенными для перехвата, извлечения и потенциального изменения конфиденциальных данных, подчеркивает важность бдительности при установке расширений и при использовании веб-браузеров.

Многогранный подход ParaSiteSnatcher к сокрытию его попадания в системы жертвы также обеспечивает постоянство и скрытность, что затрудняет обнаружение и удаление, поэтому пользователям следует внимательно следить за конкретными расширениями, которые они загружают и устанавливают в свои браузеры.