Nueva variante de Python del malware Chaes

Las industrias bancarias y logísticas están bajo el ataque de una variante reelaborada de un malware llamado Chaes.

"Ha sufrido revisiones importantes: desde ser reescrito completamente en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta un rediseño integral y un protocolo de comunicación mejorado", dijo Morphisec en un nuevo artículo técnico detallado compartido con The Hacker News.

Chaes, que surgió por primera vez en 2020, es conocido por apuntar a clientes de comercio electrónico en América Latina, particularmente Brasil, para robar información financiera confidencial.

Un análisis posterior de Avast a principios de 2022 encontró que los actores de amenazas detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.

Se detectaron más actualizaciones en diciembre de 2022, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubrió el uso del malware de Instrumental de administración de Windows (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como BIOS, procesador, tamaño de disco e información de memoria.

La última iteración del malware, denominada Chae$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incluye "transformaciones y mejoras significativas", incluido un catálogo ampliado de servicios destinados al robo de credenciales, así como funcionalidades de clipper.

A pesar de los cambios en la arquitectura de malware, el mecanismo de entrega general se ha mantenido igual en los ataques que se identificaron en enero de 2023.


Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas por un mensaje emergente que les pide que descarguen un instalador para Java Runtime o una solución antivirus, lo que desencadena el despliegue de un archivo MSI malicioso que, a su vez, lanza un módulo orquestador primario conocido como ChaesCore.

El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que admiten la actividad posterior al compromiso y el robo de datos.

• Init, que recopila amplia información sobre el sistema
• En línea, que actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina
• Chronod, que roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta las transferencias de pago BTC, ETH y PIX
• Appita, un módulo con características similares a las de Chronod pero diseñado específicamente para apuntar a la aplicación de escritorio del Itaú Unibanco ("itauaplicativo.exe")
• Chrautos, una versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
• Stealer, una variante mejorada de Chrolog que saquea datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
• File Uploader, que carga datos relacionados con la extensión de Chrome de MetaMask

La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante ejecutándose en un bucle infinito para esperar más instrucciones del servidor remoto.

La focalización de las transferencias de criptomonedas y los pagos instantáneos a través de la plataforma PIX de Brasil es una adición notable que subraya las motivaciones financieras de los actores de amenazas.

"El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer", explicó Morphisec. "Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, que funcionan de manera muy similar a los de ChaesCore".

Este método implica alterar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.

"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", dijo la compañía. "Este protocolo permite la comunicación directa con la funcionalidad del navegador interno a través de WebSockets".

"La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de ser cifrados y mucho más".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta