As indústrias bancária e de logística estão sob o ataque de uma variante reformulada de um malware chamado Chaes.
"Ele passou por grandes reformulações: desde ser totalmente reescrito em Python, o que resultou em menores taxas de detecção por sistemas de defesa tradicionais, até um redesenho abrangente e um protocolo de comunicação aprimorado", disse Morphisec em uma nova análise técnica detalhada compartilhada com The Hacker News.
O Chaes, que surgiu pela primeira vez em 2020, é conhecido por alvejar clientes de e-commerce na América Latina, especialmente no Brasil, para roubar informações financeiras sensíveis.
Uma análise subsequente da Avast no início de 2022 descobriu que os atores da ameaça por trás da operação, que se autodenominam Lucifer, haviam violado mais de 800 sites WordPress para entregar o Chaes aos usuários do Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre e Mercado Pago.
Atualizações posteriores foram detectadas em dezembro de 2022, quando a empresa brasileira de segurança da informação Tempest Security Intelligence descobriu o uso do Windows Management Instrumentation (WMI) pelo malware em sua cadeia de infecção para facilitar a coleta de metadados do sistema, como BIOS, processador, tamanho do disco e informações de memória.
A última iteração do malware, apelidada de Chae$ 4 em referência a mensagens de log de depuração presentes no código fonte, inclui "transformações e aprimoramentos significativos", incluindo um catálogo expandido de serviços visados para roubo de credenciais e funcionalidades de clipper.
Apesar das mudanças na arquitetura do malware, o mecanismo geral de entrega permaneceu o mesmo nos ataques identificados em janeiro de 2023.
Possíveis vítimas que aterrissam em um dos sites comprometidos são recebidas por uma mensagem pop-up solicitando que elas baixem um instalador para Java Runtime ou uma solução antivírus, desencadeando a implantação de um arquivo MSI malicioso que, por sua vez, lança um módulo orquestrador principal conhecido como ChaesCore.
O componente é responsável por estabelecer um canal de comunicação com o servidor de comando e controle (C2) a partir de onde ele busca módulos adicionais que suportam atividade pós-comprometimento e roubo de dados -
Init, que coleta amplas informações sobre o sistema
Online, que atua como um beacon para transmitir uma mensagem de volta ao atacante de que o malware está em execução na máquina
Chronod, que rouba credenciais de login inseridas em navegadores da web e intercepta transferências de pagamento BTC, ETH e PIX
Appita, um módulo com características semelhantes às do Chronod, mas especificamente projetado
para atacar o aplicativo de desktop do Itaú Unibanco ("itauaplicativo.exe")
Chrautos, uma versão atualizada do Chronod e Appita que se concentra na coleta de dados do Mercado Libre, Mercado Pago e WhatsApp.
Stealer, uma variante aprimorada do Chrolog que saqueia dados de cartão de crédito, cookies, preenchimento automático e outras informações armazenadas em navegadores da web, e
File Uploader, que carrega dados relacionados à extensão MetaMask do Chrome.
A persistência no host é realizada por meio de uma tarefa agendada, enquanto as comunicações do C2 envolvem o uso de WebSockets, com o implant rodando em um loop infinito para aguardar mais instruções do servidor remoto.
O direcionamento de transferências de criptomoedas e pagamentos instantâneos via plataforma PIX do Brasil é um acréscimo notável que destaca as motivações financeiras dos criminosos cibernéticos.
O módulo Chronod apresenta outro componente usado no framework, um componente chamado Module Packer", explicou a Morphisec.
"Este componente fornece o módulo com seus próprios mecanismos de persistência e migração, funcionando muito como o do ChaesCore."
Este método envolve a alteração de todos os arquivos de atalho (LNK) associados a navegadores da web (por exemplo, Google Chrome, Microsoft Edge, Brave e Avast Secure Browser) para execução do módulo Chronod em vez do navegador real.
"O malware usa o Protocolo DevTools do Google para se conectar à instância atual do navegador", disse a empresa.
"Este protocolo permite uma comunicação direta com a funcionalidade interna do navegador por meio de WebSockets."
"A ampla gama de recursos expostos por este protocolo permite ao atacante executar scripts, interceptar solicitações de rede, ler corpos de POST antes de serem criptografados e muito mais."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...