Összefoglaló
Az Infostealer.Boleteiro egy trójai, mely információkat lop a fertőzött számítógépről.
Leírás
A trójait aktiválása manuálisan történik.
Mikor aktiválódik az alábbi állományokat hozza létre:
- %UserProfile%Application DataMicrosoftGoogleicon.png
- %UserProfile%Application DataMicrosoftGoogleManifest.js
- %UserProfile%Application DataMicrosoftGoogleManifest.json
A trójai megváltoztatja az alábbi állományt egy include paraméterrel, így a böngésző nem mutat figyelemeztető ablakot az új bővítmény miatt.
- %AllUsersProfile%DesktopGoogle Chrome.lnk
A kártékony bővítményt normálként mutatja a Google Chrome.
A trójai JavaScript kódot injekciózik minden oldalba amit Chrome megnyit.
A trójai megkeres minden “Boleto”-t amit a chrome megjelenít, és az alábbi információkat szerzi be:
- Érték
- Játékos
- Lejárati dátum
A trójai elküldi a begyűjtött információkat az alábbi kiszolgálóra:
- [http://]www.planansa.com.br/site/welcom[REMOVED]
A trójai megváltoztatja a boleto alapú tartalmakat a szervertől kapott válaszban.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
http://www.symantec.com/security_response/writeup.jsp?docid=2014-091718-2034-99&tabid=2