Los sectores bancario y log\u00edstico est\u00e1n bajo el ataque de una variante reelaborada de un malware llamado Chaes<\/strong>.<\/p>\n “Ha sufrido importantes revisiones: desde ser reescrito completamente en Python, lo que result\u00f3 en tasas de detecci\u00f3n m\u00e1s bajas por parte de los sistemas de defensa tradicionales, hasta un redise\u00f1o integral y un protocolo de comunicaci\u00f3n mejorado”, dijo Morphisec en un nuevo informe t\u00e9cnico detallado. escribir<\/a> compartido con The Hacker News.<\/p>\n Se sabe que Chaes, que surgi\u00f3 por primera vez en 2020, apunta a clientes de comercio electr\u00f3nico en Am\u00e9rica Latina, particularmente Brasil, para robar informaci\u00f3n financiera confidencial.<\/p>\n Un an\u00e1lisis posterior de Avast a principios de 2022 encontr\u00f3 que los actores de amenazas detr\u00e1s de la operaci\u00f3n, que se hacen llamar Lucifer, hab\u00edan violado m\u00e1s de 800 sitios web de WordPress para entregar Chaes a los usuarios del Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado. Pago.<\/p>\n Se detectaron m\u00e1s actualizaciones en diciembre de 2022, cuando la empresa brasile\u00f1a de ciberseguridad Tempest Security Intelligence descubierto<\/a> el uso por parte del malware del Instrumental de administraci\u00f3n de Windows (WMI<\/a>) en su cadena de infecci\u00f3n para facilitar la recopilaci\u00f3n de metadatos del sistema, como BIOS, procesador, tama\u00f1o del disco e informaci\u00f3n de la memoria.<\/p>\n La \u00faltima versi\u00f3n del malware, denominada cha\u00e9$ 4<\/strong> en referencia a los mensajes de registro de depuraci\u00f3n presentes en el c\u00f3digo fuente, incluye “transformaciones y mejoras significativas”, incluido un cat\u00e1logo ampliado de servicios destinados al robo de credenciales, as\u00ed como funcionalidades de clipper.<\/p>\n A pesar de los cambios en la arquitectura del malware, el mecanismo de entrega general sigue siendo el mismo en los ataques identificados en enero de 2023.<\/p>\n Las v\u00edctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas con un mensaje emergente que les pide que descarguen un instalador de Java Runtime o una soluci\u00f3n antivirus, lo que desencadena la implementaci\u00f3n de un archivo MSI malicioso que, a su vez, inicia un m\u00f3dulo orquestador primario conocido. como ChaesCore.<\/p>\n El componente es responsable de establecer un canal de comunicaci\u00f3n con el servidor de comando y control (C2) desde donde obtiene m\u00f3dulos adicionales que respaldan la actividad posterior al compromiso y el robo de datos.<\/p>\n La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante funcionando en un bucle infinito a la espera de m\u00e1s instrucciones del servidor remoto.<\/p>\n El ataque a transferencias de criptomonedas y pagos instant\u00e1neos a trav\u00e9s de la plataforma PIX de Brasil es una adici\u00f3n notable que subraya las motivaciones financieras de los actores de la amenaza.<\/p>\n Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa<\/p>\n <\/a><\/p>\n Descubra c\u00f3mo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda c\u00f3mo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso despu\u00e9s de una vulneraci\u00f3n. <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1693921243_232_La-nueva-variante-Python-del-malware-Chaes-se-dirige-a.jpg\" "\\"Malware")
<\/div>\n\n