Les secteurs bancaire et logistique sont sous l’assaut d’une variante retravaillée d’un malware appelé Chaes.
« Il a subi des refontes majeures : depuis sa réécriture entièrement en Python, ce qui a entraîné une baisse des taux de détection par les systèmes de défense traditionnels, jusqu’à une refonte complète et un protocole de communication amélioré », a déclaré Morphisec dans un nouveau rapport technique détaillé. rédaction partagé avec The Hacker News.
Chaes, apparu pour la première fois en 2020, est connu pour cibler les clients du commerce électronique en Amérique latine, en particulier au Brésil, pour voler des informations financières sensibles.
Une analyse ultérieure d’Avast début 2022 a révélé que les acteurs malveillants à l’origine de l’opération, qui se font appeler Lucifer, avaient piraté plus de 800 sites Web WordPress pour fournir des Chaes aux utilisateurs de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre et Mercado. Pago.
D’autres mises à jour ont été détectées en décembre 2022, lorsque la société brésilienne de cybersécurité Tempest Security Intelligence découvert l’utilisation par le malware de Windows Management Instrumentation (WMI) dans sa chaîne d’infection pour faciliter la collecte de métadonnées système, telles que les informations sur le BIOS, le processeur, la taille du disque et la mémoire.
La dernière itération du malware, baptisée Chae4 $ en référence aux messages du journal de débogage présents dans le code source, il intègre des « transformations et améliorations significatives », y compris un catalogue élargi de services ciblés pour le vol d’informations d’identification ainsi que des fonctionnalités de clipper.
Malgré les changements dans l’architecture des logiciels malveillants, le mécanisme global de diffusion est resté le même lors des attaques identifiées en janvier 2023.
Les victimes potentielles qui atterrissent sur l’un des sites Web compromis sont accueillies par un message contextuel leur demandant de télécharger un programme d’installation pour Java Runtime ou une solution antivirus, déclenchant le déploiement d’un fichier MSI malveillant qui, à son tour, lance un module orchestrateur principal connu comme ChaesCore.
Le composant est chargé d’établir un canal de communication avec le serveur de commande et de contrôle (C2) à partir duquel il récupère des modules supplémentaires qui prennent en charge les activités post-compromission et le vol de données –
- Initialisationqui rassemble des informations détaillées sur le système
- En lignequi agit comme une balise pour transmettre un message à l’attaquant indiquant que le logiciel malveillant est exécuté sur la machine.
- Chronodequi vole les identifiants de connexion saisis dans les navigateurs Web et intercepte les transferts de paiement BTC, ETH et PIX
- Appitaun module avec des fonctionnalités similaires à celui de Chronod mais spécifiquement conçu pour cibler l’application de bureau d’Itaú Unibanco (« itauaplicativo.exe »)
- Chrautosune version mise à jour de Chronod et Appita qui se concentre sur la collecte de données de Mercado Libre, Mercado Pago et WhatsApp
- Voleurune variante améliorée de Chrolog qui pille les données de carte de crédit, les cookies, la saisie automatique et d’autres informations stockées dans les navigateurs Web, et
- Téléchargeur de fichiersqui télécharge les données liées à l’extension Chrome de MetaMask
La persistance sur l’hôte s’effectue au moyen d’une tâche planifiée, tandis que les communications C2 impliquent l’utilisation de WebSockets, l’implant s’exécutant dans une boucle infinie pour attendre d’autres instructions du serveur distant.
Le ciblage des transferts de cryptomonnaies et des paiements instantanés via la plateforme brésilienne PIX est un ajout remarquable qui souligne les motivations financières des acteurs de la menace.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
« Le module Chronod introduit un autre composant utilisé dans le framework, un composant appelé Module Packer », a expliqué Morphisec. « Ce composant fournit au module ses propres mécanismes de persistance et de migration, fonctionnant un peu comme celui de ChaesCore. »
Cette méthode consiste à modifier tous les fichiers de raccourci (LNK) associés aux navigateurs Web (par exemple, Google Chrome, Microsoft Edge, Brave et Avast Secure Browser) pour exécuter le module Chronod au lieu du navigateur lui-même.
« Le malware utilise le protocole DevTools de Google pour se connecter à l’instance actuelle du navigateur », a indiqué la société. « Ce protocole permet une communication directe avec les fonctionnalités du navigateur interne via WebSockets. »
« Le large éventail de fonctionnalités exposées par ce protocole permet à l’attaquant d’exécuter des scripts, d’intercepter des requêtes réseau, de lire des corps POST avant d’être chiffrés, et bien plus encore. »