Variante de malware Chaes

Morphisec Threat Labs identificó Chaes 4, una variante avanzada y previamente desconocida del malware Chaes. Los sectores bancario y logístico están bajo el ataque de una variante reelaborada del malware.
Morphisec también comenta que paso por importantes revisiones de rescritura completa en Python, esto resultó que las tasas de detección bajaran por parte de los sistemas de defensa tradicionales.
El malware apareció por primera vez en noviembre de 2020, dirigido a clientes de comercio electrónico Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Libre y Mercado Pago en América Latina. Sus operaciones se expandieron significativamente a finales de 2021, cuando Avast observó que utilizaba 800 sitios de WordPress comprometidos para distribuir el malware.
A pesar de los cambios en la arquitectura del malware, el mecanismo de entrega general sigue siendo el mismo en los ataques identificados en enero de 2023.
Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas con un mensaje emergente que les pide que descarguen un instalador de Java Runtime o una solución antivirus, lo que desencadena la implementación de un archivo MSI malicioso que, a su vez, inicia un módulo orquestador primario conocido. como ChaesCore.



El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que respaldan la actividad posterior al compromiso y el robo de datos.
• Init, que recopila amplia información sobre el sistema.
• En línea, que actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina.
• Chronod, que roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta transferencias de pagos BTC, ETH y PIX.
• Appita, un módulo con características similares al de Chronod pero diseñado específicamente para la aplicación de escritorio de Itaú Unibanco (“itauaplicativo.exe")
• Chrautos, una versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
• Stealer, una variante mejorada de Chrolog que roba datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
• File Uploader, que carga datos relacionados con la extensión de Chrome de MetaMask

La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante funcionando en un bucle infinito a la espera de más instrucciones del servidor remoto.
También Morphisec hace mención sobre el módulo Chronod otro componente utilizado en el marco, un componente llamado Module Packer”.
Este método implica modificar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.
"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", para robar datos del navegador web, incluida la modificación en tiempo real de páginas web, ejecución de código JavaScript, depuración, gestión de solicitudes de red, gestión de memoria, cookies. y gestión de caché, y más.

"Cada tarea abre su propia pestaña y expone las funciones relevantes en el módulo que se ejecutarían a través del código JavaScript inyectado".



"Después de configurar los datos y funciones relevantes, el módulo navega a la URL de destino, lo que crea un evento Page.loadEventFired que activa la inyección de JavaScript en la URL navegada".
haes repite el mismo proceso automáticamente para todas las URL de las que el módulo ladrón está configurado para robar datos. WebSockets admite comunicaciones persistentes para el intercambio de datos de baja latencia en tiempo real, puede transmitir texto y datos binarios, no requiere almacenamiento en caché de solicitudes ni proxy y, en general, es más sigiloso que HTTP.


Indicadores de compromiso (IoC)

05b10fc19273045a3e70fa0057873643af289db75878949912c925163ad3c9fd

628b1ba59150a1b66167bec71d16eef23cafc167ffb47c916c69adb2ac372a57

6d4a7488cb559035d5d06d5a94adc76188cd2dfc6a647f8a77da7565e244898c

b58161c867b2bd6ac4e2332b951b7897efd2b19f696901b078a395ddcf7d134a

d1885b4f515cea0d5c262c8d0b19db9c1cb7bc98efe761c4021fc4e40a9584d6

Referencias
https://thehackernews.com/2023/09/new-python-variant-of-chaes-malware.html
https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers https://www.bleepingcomputer.com/news/security/chaes-malware-now-uses-google-chrome-devtools-protocol-to-stealdata

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios