Los sectores bancario y logístico están bajo el ataque de una variante reelaborada de un malware llamado Chaes.
«Ha sufrido importantes revisiones: desde ser reescrito completamente en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta un rediseño integral y un protocolo de comunicación mejorado», dijo Morphisec en un nuevo informe técnico detallado. escribir compartido con The Hacker News.
Se sabe que Chaes, que surgió por primera vez en 2020, apunta a clientes de comercio electrónico en América Latina, particularmente Brasil, para robar información financiera confidencial.
Un análisis posterior de Avast a principios de 2022 encontró que los actores de amenazas detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios del Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado. Pago.
Se detectaron más actualizaciones en diciembre de 2022, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubierto el uso por parte del malware del Instrumental de administración de Windows (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como BIOS, procesador, tamaño del disco e información de la memoria.
La última versión del malware, denominada chaé$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incluye «transformaciones y mejoras significativas», incluido un catálogo ampliado de servicios destinados al robo de credenciales, así como funcionalidades de clipper.
A pesar de los cambios en la arquitectura del malware, el mecanismo de entrega general sigue siendo el mismo en los ataques identificados en enero de 2023.
Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas con un mensaje emergente que les pide que descarguen un instalador de Java Runtime o una solución antivirus, lo que desencadena la implementación de un archivo MSI malicioso que, a su vez, inicia un módulo orquestador primario conocido. como ChaesCore.
El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que respaldan la actividad posterior al compromiso y el robo de datos.
- En esoque recopila amplia información sobre el sistema.
- En líneaque actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina.
- cronodoque roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta transferencias de pagos BTC, ETH y PIX.
- apitaun módulo con características similares al de Chronod pero diseñado específicamente para la aplicación de escritorio de Itaú Unibanco («itauaplicativo.exe»)
- Chrautosuna versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
- ladrónuna variante mejorada de Chrolog que saquea datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
- Cargador de archivosque carga datos relacionados con la extensión de Chrome de MetaMask
La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante funcionando en un bucle infinito a la espera de más instrucciones del servidor remoto.
El ataque a transferencias de criptomonedas y pagos instantáneos a través de la plataforma PIX de Brasil es una adición notable que subraya las motivaciones financieras de los actores de la amenaza.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
«El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer», explicó Morphisec. «Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, funcionando de manera muy similar al de ChaesCore».
Este método implica alterar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.
«El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador», dijo la compañía. «Este protocolo permite la comunicación directa con la funcionalidad del navegador interno a través de WebSockets».
«La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de cifrarlos y mucho más».