Chaes 恶意软件的新 Python 变体针对银行和物流行业

银行和物流行业正受到一种名为Chaes的恶意软件的改造变种的攻击。

Morphisec 在与 The Hacker 分享的一份新的详细技术文章中表示：“它经历了重大改革：从完全用 Python 重写（导致传统防御系统的检测率降低）到全面重新设计和增强的通信协议。”消息。

Chaes 于 2020 年首次出现，以拉丁美洲（尤其是巴西）的电子商务客户为目标，窃取敏感的财务信息。

Avast 在 2022 年初的后续分析发现，该行动背后的威胁参与者自称为 Lucifer，他们入侵了 800 多个 WordPress 网站，向 Banco do Brasil、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado 的用户提供 Chaes帕果。

2022 年 12 月，巴西网络安全公司 Tempest Security Intelligence发现该恶意软件在其感染链中使用 Windows Management Instrumentation ( WMI ) 来促进收集系统元数据，例如 BIOS、处理器、磁盘大小和内存信息，从而检测到进一步的更新。
该恶意软件的最新版本被称为Chae$ 4，参考源代码中存在的调试日志消息，包含“重大转换和增强”，包括针对凭据盗窃的扩展服务目录以及 Clipper功能。

尽管恶意软件架构发生了变化，但 2023 年 1 月发现的攻击的整体传递机制保持不变。


登陆受感染网站之一的潜在受害者会收到一条弹出消息，要求他们下载 Java 运行时或防病毒解决方案的安装程序，从而触发恶意 MSI 文件的部署，该文件进而启动已知的主要协调器模块作为ChaesCore。

该组件负责与命令和控制 (C2) 服务器建立通信通道，从该服务器获取支持攻击后活动和数据盗窃的其他模块 -

Init，收集有关系统的大量信息
在线，充当信标，将恶意软件正在计算机上运行的消息传输回攻击者。
Chronod，窃取在网络浏览器中输入的登录凭据并拦截 BTC、ETH 和 PIX 支付转账
Appita，一个与 Chronod 具有类似功能的模块，但专门针对 Itaú Unibanco 的桌面应用程序（“itaauplicativo.exe”）而设计
Chrautos是 Chronod 和 Appita 的更新版本，专注于从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据
Stealer是 Chrolog 的改进变体，可窃取信用卡数据、cookie、自动填充和网络浏览器中存储的其他信息，以及
File Uploader，上传与 MetaMask 的 Chrome 扩展程序相关的数据
主机上的持久性是通过计划任务来完成的，而 C2 通信需要使用 WebSocket，植入程序以无限循环运行以等待来自远程服务器的进一步指令。

通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的补充，突显了威胁行为者的财务动机。

“Chronod 模块引入了框架中使用的另一个组件，一个名为 Module Packer 的组件，”Morphisec 解释道。“该组件为模块提供了自己的持久性和迁移机制，其工作方式与 ChaesCore 的机制非常相似。”

此方法涉及更改与 Web 浏览器（例如 Google Chrome、Microsoft Edge、Brave 和 Avast Secure Browser）关联的所有快捷方式文件 (LNK)，以执行 Chronod 模块而不是实际的浏览器。

该公司表示：“该恶意软件使用谷歌的 DevTools 协议连接到当前的浏览器实例。” “该协议允许通过 WebSocket 与内部浏览器功能直接通信。”

“该协议公开的广泛功能允许攻击者运行脚本、拦截网络请求、在加密之前读取 POST 正文等等。”