銀行和物流行業(yè)正遭受一種名為 "Chaes "惡意軟件變種的攻擊。

Morphisec 在與《黑客新聞》分享的一份新的詳細(xì)技術(shù)報(bào)告中說(shuō)：“Chaes”經(jīng)歷了重大的改版，從完全用 Python 重寫(xiě)，到整體重新設(shè)計(jì)和增強(qiáng)通信協(xié)議，導(dǎo)致傳統(tǒng)防御系統(tǒng)的檢測(cè)率降低。

據(jù)了解，Chaes 于 2020 年首次出現(xiàn)，主要針對(duì)拉丁美洲（尤其是巴西）的電子商務(wù)客戶(hù)竊取敏感的財(cái)務(wù)信息。

Avast 在 2022 年初發(fā)現(xiàn)，自稱(chēng)為路西法的幕后威脅者已經(jīng)入侵了 800 多個(gè) WordPress 網(wǎng)站，向巴西銀行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用戶(hù)發(fā)送 Chaes。

2022 年 12 月，巴西網(wǎng)絡(luò)安全公司 Tempest Security Intelligence 發(fā)現(xiàn)該惡意軟件在其感染鏈中使用了 Windows Management Instrumentation（WMI），以方便收集系統(tǒng)元數(shù)據(jù)，如 BIOS、處理器、磁盤(pán)大小和內(nèi)存信息。

該惡意軟件的最新迭代版本被稱(chēng)為 Chae$ 4（參考源代碼中的調(diào)試日志信息），其中包含了擴(kuò)大針對(duì)憑證盜竊的服務(wù)目錄以及剪切功能。

盡管惡意軟件架構(gòu)發(fā)生了變化，但在 2023 年 1 月發(fā)現(xiàn)的攻擊中，總體傳輸機(jī)制保持不變。

潛在受害者登陸其中一個(gè)被入侵的網(wǎng)站后，會(huì)彈出一個(gè)消息，要求他們下載 Java Runtime 或防病毒解決方案的安裝程序，從而觸發(fā)惡意 MSI 文件的部署，該文件反過(guò)來(lái)又會(huì)啟動(dòng)一個(gè)名為 ChaesCore 的主協(xié)調(diào)器模塊。

該組件負(fù)責(zé)建立與命令控制（C2）服務(wù)器的通信渠道，從中獲取支持入侵后活動(dòng)和數(shù)據(jù)盜竊的其他模塊 。

• 初始化，收集系統(tǒng)的大量信息
• 在線(xiàn)，作為信標(biāo)向攻擊者回傳信息，表明惡意軟件正在機(jī)器上運(yùn)行
• Chronod 會(huì)竊取在網(wǎng)頁(yè)瀏覽器中輸入的登錄憑證，并攔截 BTC、ETH 和 PIX 支付轉(zhuǎn)賬
• Appita 模塊，具有與 Chronod 類(lèi)似的功能，但專(zhuān)門(mén)針對(duì) Itaú Unibanco 的桌面應(yīng)用程序（"itauaplicativo.exe"）。
• Chrautos 是 Chronod 和 Appita 的升級(jí)版本，主要從 Mercado Libre、Mercado Pago 和 WhatsApp 收集數(shù)據(jù)。
• 竊取程序，Chrolog 的改進(jìn)版，可竊取信用卡數(shù)據(jù)、cookie、自動(dòng)填充和其他存儲(chǔ)在網(wǎng)絡(luò)瀏覽器中的信息。
• 文件上傳器，用于上傳與 MetaMask 的 Chrome 擴(kuò)展相關(guān)的數(shù)據(jù)。

主機(jī)上的持久性是通過(guò)計(jì)劃任務(wù)完成的，而 C2 通信則需要使用 WebSockets，植入程序會(huì)無(wú)限循環(huán)運(yùn)行，等待遠(yuǎn)程服務(wù)器的進(jìn)一步指令。

通過(guò)巴西的 PIX 平臺(tái)進(jìn)行加密貨幣轉(zhuǎn)賬和即時(shí)支付是一個(gè)值得注意的新增目標(biāo)，凸顯了攻擊者的攻擊嗅覺(jué)。

Morphisec 進(jìn)一步解釋說(shuō)：Chronod 模塊引入了框架中使用的另一個(gè)組件，一個(gè)名為 "模塊打包器 "的組件。這個(gè)組件為模塊提供了自己的持久性和遷移機(jī)制，其工作原理與ChaesCore的機(jī)制非常相似。

這種方法包括更改與網(wǎng)頁(yè)瀏覽器（如谷歌 Chrome、微軟 Edge、Brave 和 Avast 安全瀏覽器）相關(guān)的所有快捷方式文件（LNK），以執(zhí)行 Chronod 模塊，而不是實(shí)際的瀏覽器。

該公司表示：惡意軟件使用谷歌的 DevTools 協(xié)議連接到當(dāng)前瀏覽器實(shí)例。該協(xié)議允許通過(guò) WebSockets 與內(nèi)部瀏覽器功能直接通信。

該協(xié)議暴露的廣泛功能允許攻擊者運(yùn)行腳本、攔截網(wǎng)絡(luò)請(qǐng)求、在加密前讀取 POST 體等。

參考鏈接：https://thehackernews.com/2023/09/new-python-variant-of-chaes-malware.html