Összefoglaló
A Boleteiro trójai kifejezetten a Chrome böngésző kompromittálására alkalmas. A kártékony program célja, hogy a felhasználó által letöltött weboldalakat a háttérben, észrevétlenül manipulálja, és ezáltal bizalmas adatokhoz férjen hozzá. A trójai mindezt egy bővítmény telepítésével éri el, és arról is gondoskodik, hogy a böngésző a kiegészítő telepítésekor ne jelenítsen meg figyelmeztető üzenetet, azonban a böngésző bővítményei között látszani fog az engedély nélkül települt plugin.
Leírás
A Boleteiro mindössze három fájlt hoz létre a rendszereken, és elsősorban pénzügyi adatokra vadászik. A jelenlegi variánsa leginkább a brazil felhasználók értékeire jelent veszélyt, ugyanis egy brazil pénzügyi szolgáltatást pécézett ki magának. Ugyanakkor mindez a jövőben esetlegesen megjelenő variánsainak esetében könnyedén megváltozhat.
1. Létrehozza a következő állományokat:
%UserProfile%Application DataMicrosoftGoogleicon.png
%UserProfile%Application DataMicrosoftGoogleManifest.js
%UserProfile%Application DataMicrosoftGoogleManifest.json
Ezek a fájlok egy Google Chrome bővítményhez tartoznak.
2. Úgy módosítja az alábbi parancsikont, hogy a Chrome ne jelenítsen meg figyelmeztető üzenetet egy új bővítmény telepítésekor.
%AllUsersProfile%DesktopGoogle Chrome.lnk
3. Feltelepít egy Chrome bővítményt, amely a böngésző kiegészítőinek listájában láthatóvá válik.
4. Minden Chrome-ban letöltött weboldal kódjába beilleszt egy JavaScript kódot.
5. Bizalmas és pénzügyi adatokat gyűjt össze.
6. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.
7. Weboldalak megjelenítését manipulálja.
8. Megjelenít egy üres ablakot.
Megoldás
Frissítse a víruskereső adatbázisát.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com