新Chae$4恶意软件窃取企业登录信息和财务数据

Chae$4恶意软件:臭名昭著的Chaes恶意软件的新变种,甚至更难检测。

领先的网络安全公司Morphisec发现了Chaes恶意软件的一种新的高级变体,目标是拉丁美洲的金融和物流公司的客户。本文深入探讨了这种被称为Chae$4的恶意软件的演变机制及其影响,以及企业防范该恶意软件的策略。

Chaes恶意软件于2020年11月首次出现,主要针对拉丁美洲(尤其是巴西)的电子商务客户。该恶意软件至少自2020年中期以来就一直活跃,通过针对毫无戒心的受害者来暴露其存在。

最新的变体Chae$4标志着其功能的重大演变。Chae$4恶意软件具有更复杂的代码结构、先进的加密技术和隐形机制,使其更难以检测。

根据Morphisec分享的一份报告,Chae$4恶意软件主要使用Python,采用解密和动态内存执行,因此规避了传统的防御系统。该恶意软件已放弃Puppeteer,转而采用定制方法来监视和拦截Chromium浏览器的活动。

Chae$4的目标是更广泛的服务,包括著名的平台和银行,例如Mercado Libre、Mercado Pago、WhatsApp Web、Itau Bank、Caixa Bank,甚至MetaMask。

新变体采用WebSockets进行其模块与命令和控制(C2)服务器之间的主要通信。除此之外,Chae$4使用域生成算法(DGA)来动态解析C2服务器地址。

Chae$4恶意软件由多个模块组成,每个模块都有特定的目的。这些模块包括:

  • 初始化模块:该模块启动与攻击者的通信,收集有关受感染系统的大量数据。
  • 在线模块:它充当信标,通知攻击者受感染系统的活动状态。
  • Chronod模块:负责窃取凭证,该模块针对浏览器活动,包括登录数据和财务信息,包括BTC、ETH和PIX传输。
  • Appita模块:与Chronod模块类似,该模块专门针对Itau Bank的应用程序。
  • Chrautos模块:Chronod和Appita模块的高级版本,它提供更好的代码架构和增强的功能。
  • Stealer Module:该模块专门从基于Chromium的浏览器窃取数据,包括登录数据、信用卡详细信息、cookie和自动填充信息。
  • 文件上传模块:最近添加的这个模块允许恶意软件搜索和上传特定文件,例如与MetaMask的Chrome扩展程序相关的文件。

感染通常从执行恶意MSI安装程序开始,该安装程序通常伪装成合法的应用程序安装程序。然后,恶意软件会部署并下载必要的文件,以在受感染的系统上建立持久性。

核心组件ChaesCore负责设置持久性并迁移到合法进程。初始化后,ChaesCore与C2服务器通信并根据需要下载附加模块。通信被加密以隐藏其活动。

MSI安装程序包含混淆的JavaScript和PowerShell脚本,用于建立恶意软件的工作目录并下载重要文件。模块包装器解密并动态加载模块,执行其恶意代码。

不同的模块专注于窃取各种类型的数据,例如登录凭据、个人信息和财务数据。

Chae$4恶意软件是一种严重威胁,但通过采取措施保护自己,您可以帮助确保数据安全。除了上述信息外,关于 Chae$4,还需要注意以下一些事项:该恶意软件仍在开发中,因此将来可能会添加新的特性或功能;该恶意软件针对特定区域,但将来有可能用于针对其他区域;该恶意软件不断发展,因此及时了解有关该恶意软件的最新信息非常重要。

发表评论

评论已关闭。

相关文章