Los expertos de Avast, que desarrolla el antivirus del mismo nombre, informaron sobre una campaña de piratas informáticos a gran escala para piratear sitios en el sistema Wordpress e instalar extensiones en ellos que infectan los dispositivos de los visitantes de estos recursos utilizando el virus Chaes.
Una serie de estos ataques se conocen desde finales de 2021. Se solicita a los visitantes del recurso infectado que instalen una aplicación Java Runtime falsa; este es un método antiguo. Después de eso, un instalador con tres archivos se descarga automáticamente en la computadora de la víctima, creando un sistema en el dispositivo para ejecutar automáticamente el virus, informando al operador sobre el éxito del ataque y controlando la red y el registro de Windows.
Cuando se completan todos los procesos principales, las extensiones maliciosas para Google Chrome se instalan automáticamente en la computadora, haciéndose pasar por legítimas.
La lista es esta:
- Online: toma la huella digital de la víctima y crea una clave de registro.
- Mtps4: se conecta al servidor C2 y espera el PascalScript entrante. También puede tomar capturas de pantalla y mostrarlas en pantalla completa para ocultar actividades maliciosas.
- Chrolog: roba contraseñas de Google Chrome.
- Chronodx: es un troyano JS bancario y descargador. Se ejecuta de forma invisible y espera a que se inicie Chrome.
- Chremows: roba credenciales de plataformas comerciales en línea.
