研究者によると、RATモジュールは攻撃者が制御するC2サーバーと定期的に通信を維持する。
保存された認証情報に加えてブラウザ拡張機能のデータを盗み出し、extensions.jsonを読み取ってブラウザ拡張機能名のリストを取得し、指定されたキーワードがリストに含まれているかどうかを確認する。
macOSまたはChromiumファミリーのコンピュータを実行している被害者の場合、被害者のブラウザに応じてカスタム動作も示すと、研究者らは付け加えた。
Tode.jSコードによると、このマルウェアはキーチェーンデータベースも標的にしている。
コメント