Bankacılık ve lojistik sektörleri, kötü amaçlı yazılımın yeniden işlenmiş bir versiyonunun saldırısı altında. Chaes.
Morphisec, yeni ayrıntılı teknik raporunda şöyle konuştu: “Geleneksel savunma sistemleri tarafından daha düşük tespit oranlarına yol açan tamamen Python’da yeniden yazılmasından, kapsamlı bir yeniden tasarıma ve gelişmiş iletişim protokolüne kadar büyük bir revizyondan geçti.” yazma The Hacker News ile paylaşıldı.
İlk olarak 2020 yılında ortaya çıkan Chaes’in, hassas finansal bilgileri çalmak amacıyla başta Brezilya olmak üzere Latin Amerika’daki e-ticaret müşterilerini hedef aldığı biliniyor.
Avast’ın 2022’nin başlarında yaptığı bir sonraki analiz, kendilerine Lucifer adını veren operasyonun arkasındaki tehdit aktörlerinin Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre ve Mercado kullanıcılarına Chaes sunmak için 800’den fazla WordPress web sitesini ihlal ettiğini ortaya çıkardı. Pago.
Brezilya siber güvenlik şirketi Tempest Security Intelligence’ın Aralık 2022’de ek güncellemeler yaptığı tespit edildi. açıkta kötü amaçlı yazılımın Windows Yönetim Araçları’nı kullanması (WMIBIOS, işlemci, disk boyutu ve bellek bilgileri gibi sistem meta verilerinin toplanmasını kolaylaştırmak için enfeksiyon zincirinde.
Kötü amaçlı yazılımın en son versiyonu, Chae4 dolar kaynak kodunda bulunan hata ayıklama günlüğü mesajlarına atıfta bulunarak, kimlik bilgisi hırsızlığının yanı sıra kesme işlevlerine yönelik genişletilmiş bir hizmet kataloğu da dahil olmak üzere “önemli dönüşümler ve geliştirmeler” içerir.
Kötü amaçlı yazılım mimarisindeki değişikliklere rağmen Ocak 2023’te tespit edilen saldırılarda genel dağıtım mekanizması aynı kaldı.
Güvenliği ihlal edilmiş web sitelerinden birine giren potansiyel kurbanlar, Java Runtime için bir yükleyici veya bir antivirüs çözümü indirmelerini isteyen bir açılır mesajla karşılanır, bu da kötü amaçlı bir MSI dosyasının dağıtımını tetikler ve bu da daha sonra bilinen bir birincil orkestratör modülünü başlatır. ChaesCore olarak.
Bileşen, komuta ve kontrol (C2) sunucusuyla bir iletişim kanalı oluşturmaktan sorumludur; buradan, uzlaşma sonrası etkinliği ve veri hırsızlığını destekleyen ek modülleri alır.
- İçindeSistem hakkında kapsamlı bilgi toplayan
- ÇevrimiçiSaldırgana, kötü amaçlı yazılımın makinede çalıştığına dair bir mesaj iletmek için bir işaretçi görevi gören
- kronodWeb tarayıcılarına girilen oturum açma bilgilerini çalan ve BTC, ETH ve PIX ödeme transferlerine müdahale eden .
- AppitaChronod’unkine benzer özelliklere sahip ancak Itaú Unibanco’nun masaüstü uygulamasını (“itauaplicativo.exe”) hedeflemek için özel olarak tasarlanmış bir modül.
- ChrautosMercado Libre, Mercado Pago ve WhatsApp’tan veri toplamaya odaklanan Chronod ve Appita’nın güncellenmiş bir sürümü
- HırsızKredi kartı verilerini, çerezleri, otomatik doldurmayı ve web tarayıcılarında saklanan diğer bilgileri yağmalayan, Chrolog’un geliştirilmiş bir çeşidi ve
- Dosya YükleyiciMetaMask’ın Chrome uzantısıyla ilgili verileri yükleyen
Ana bilgisayardaki kalıcılık, zamanlanmış bir görev aracılığıyla gerçekleştirilir; C2 iletişimleri ise WebSockets’in kullanımını gerektirir; implant, uzak sunucudan gelecek talimatları beklemek üzere sonsuz bir döngüde çalışır.
Brezilya’nın PIX platformu aracılığıyla kripto para birimi transferlerinin ve anlık ödemelerin hedeflenmesi, tehdit aktörlerinin finansal motivasyonlarının altını çizen dikkate değer bir eklentidir.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Morphisec, “Chronod modülü, çerçevede kullanılan başka bir bileşeni, Modül Paketleyici adı verilen bir bileşeni tanıtıyor” diye açıkladı. “Bu bileşen, modüle ChaesCore’unkine benzer şekilde çalışan kendi kalıcılığını ve geçiş mekanizmalarını sağlıyor.”
Bu yöntem, gerçek tarayıcı yerine Chronod modülünü çalıştırmak için web tarayıcılarıyla (örneğin, Google Chrome, Microsoft Edge, Brave ve Avast Secure Tarayıcı) ilişkili tüm kısayol dosyalarının (LNK) değiştirilmesini içerir.
Şirket, “Kötü amaçlı yazılım, mevcut tarayıcı örneğine bağlanmak için Google’ın DevTools Protokolünü kullanıyor” dedi. “Bu protokol, iç tarayıcının işlevselliği ile WebSockets üzerinden doğrudan iletişime izin verir.”
“Bu protokolün açığa çıkardığı geniş yetenek yelpazesi, saldırganın komut dosyaları çalıştırmasına, ağ isteklerini engellemesine, şifrelenmeden önce POST gövdelerini okumasına ve çok daha fazlasına olanak tanıyor.”