MSIL/Spy.Banker.AU - похищает банковские данные, используя расширение Google Chrome


MSIL/Spy.Banker.AU - банковский троян, цель которого - похищение конфиденциальной информации, используя для этого специально установленное расширения для браузера Google Chrome. Данное расширение позволяло злоумышленникам перехватывать аутентификационные данные, необходимые для входа в систему онлайн-банкинга. В Бразилии киберпреступники довольно часто используют банковское вредоносное ПО, получая при этом значительную прибыль.

Примечательным стал тот факт, что данный вредонос в процессе кибератаки использовал уязвимости правительственного почтового сервера.

MSIL/Spy.Banker.AU распространялся через специальную спам-кампанию. Основным компонентом в такой схеме был дроппер, отвечающий за установку необходимых динамических DLL-библиотек и JavaScript-объектов на скомпрометированном компьютере.

После установки в Google Chrome специального расширения, оно начинало мониторить все посещаемые пользователем сайты, тем самым стремясь отследить веб-ресурсы бразильских финансовых учреждений. Как только пользователь входит в учетную запись на одном из таких ресурсов, его аутентификационные данные моментально отправлялись на сервер злоумышленников. Для отправки этих данных киберпреступники использовали уязвимость в конфигурации одного из серверов, принадлежащих бразильскому правительству.

Уязвимость в настройках сервера позволила хакерам использовать учетную запись gov.br электронной почты для перенаправления с него писем на два разных аккаунта e-mail, принадлежавших одному из наиболее часто используемых почтовых сервисов.

Через аккаунт gov.br данный плагин отправлял злоумышленникам два письма:

  • первое сигнализировало о новом заражении;
  • второе сообщало об авторизации пользователя в системе онлайн-банкинга.


Вредоносные скрипты содержали целый список различных банковских доменов, и, в случае посещения пользователем одного из них, необходимые для аутентификации данные сохранялись и отправлялись на электронный адрес злоумышленников.