builderall


Los sectores bancario y logístico están sufriendo el ataque de una variante reelaborada de un malware llamado Chaes.


"Se ha sometido a importantes revisiones: desde ser reescrito completamente en Python, lo que dio lugar a menores tasas de detección por los sistemas de defensa tradicionales, a un rediseño integral y un protocolo de comunicación mejorado", dijo Morphisec en un nuevo escrito técnico detallado compartido con The Hacker News.


Chaes, que apareció por primera vez en 2020, es conocido por atacar a clientes de comercio electrónico en América Latina, especialmente en Brasil, para robar información financiera confidencial.


Un análisis posterior de Avast a principios de 2022 descubrió que los actores de la amenaza detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.


En diciembre de 2022 se detectaron nuevas actualizaciones, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubrió que el malware utilizaba Windows Management Instrumentation (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como información sobre la BIOS, el procesador, el tamaño del disco y la memoria.


La última iteración del malware, denominada Chae$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incorpora "transformaciones y mejoras significativas", incluido un catálogo ampliado de servicios dirigidos al robo de credenciales, así como funcionalidades de clipper.


A pesar de los cambios en la arquitectura del malware, el mecanismo general de distribución sigue siendo el mismo en los ataques identificados en enero de 2023.



Las víctimas potenciales que aterrizan en uno de los sitios web comprometidos son recibidas por un mensaje emergente que les pide que descarguen un instalador para Java Runtime o una solución antivirus, lo que desencadena el despliegue de un archivo MSI malicioso que, a su vez, lanza un módulo orquestador primario conocido como ChaesCore.


Este componente se encarga de establecer un canal de comunicación con el servidor de mando y control (C2), desde donde obtiene módulos adicionales que soportan la actividad posterior al ataque y el robo de datos:









La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante ejecutándose en un bucle infinito a la espera de nuevas instrucciones del servidor remoto.


El objetivo de las transferencias de criptomoneda y los pagos instantáneos a través de la plataforma PIX de Brasil es una adición digna de mención que subraya las motivaciones financieras de los actores de la amenaza.


"El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer", explicó Morphisec. "Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, funcionando de forma muy similar al de ChaesCore".


Este método consiste en alterar todos los archivos de acceso directo (LNK) asociados a los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.


"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", dijo la compañía. "Este protocolo permite la comunicación directa con la funcionalidad interna del navegador a través de WebSockets".


"La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de ser cifrados, y mucho más".


Fuente: thehackernews