Chae$4恶意软件：臭名昭著的Chaes恶意软件的新变种，甚至更难检测。

领先的网络安全公司Morphisec发现了Chaes恶意软件的一种新的高级变体，目标是拉丁美洲的金融和物流公司的客户。本文深入探讨了这种被称为Chae$4的恶意软件的演变机制及其影响，以及企业防范该恶意软件的策略。

Chaes恶意软件于2020年11月首次出现，主要针对拉丁美洲（尤其是巴西）的电子商务客户。该恶意软件至少自2020年中期以来就一直活跃，通过针对毫无戒心的受害者来暴露其存在。

最新的变体Chae$4标志着其功能的重大演变。Chae$4恶意软件具有更复杂的代码结构、先进的加密技术和隐形机制，使其更难以检测。

根据Morphisec分享的一份报告，Chae$4恶意软件主要使用Python，采用解密和动态内存执行，因此规避了传统的防御系统。该恶意软件已放弃Puppeteer，转而采用定制方法来监视和拦截Chromium浏览器的活动。

Chae$4的目标是更广泛的服务，包括著名的平台和银行，例如Mercado Libre、Mercado Pago、WhatsApp Web、Itau Bank、Caixa Bank，甚至MetaMask。

新变体采用WebSockets进行其模块与命令和控制(C2)服务器之间的主要通信。除此之外，Chae$4使用域生成算法(DGA)来动态解析C2服务器地址。

Chae$4恶意软件由多个模块组成，每个模块都有特定的目的。这些模块包括：

• 初始化模块：该模块启动与攻击者的通信，收集有关受感染系统的大量数据。
• 在线模块：它充当信标，通知攻击者受感染系统的活动状态。
• Chronod模块：负责窃取凭证，该模块针对浏览器活动，包括登录数据和财务信息，包括BTC、ETH和PIX传输。
• Appita模块：与Chronod模块类似，该模块专门针对Itau Bank的应用程序。
• Chrautos模块：Chronod和Appita模块的高级版本，它提供更好的代码架构和增强的功能。
• Stealer Module：该模块专门从基于Chromium的浏览器窃取数据，包括登录数据、信用卡详细信息、cookie和自动填充信息。
• 文件上传模块：最近添加的这个模块允许恶意软件搜索和上传特定文件，例如与MetaMask的Chrome扩展程序相关的文件。

感染通常从执行恶意MSI安装程序开始，该安装程序通常伪装成合法的应用程序安装程序。然后，恶意软件会部署并下载必要的文件，以在受感染的系统上建立持久性。

核心组件ChaesCore负责设置持久性并迁移到合法进程。初始化后，ChaesCore与C2服务器通信并根据需要下载附加模块。通信被加密以隐藏其活动。

MSI安装程序包含混淆的JavaScript和PowerShell脚本，用于建立恶意软件的工作目录并下载重要文件。模块包装器解密并动态加载模块，执行其恶意代码。

不同的模块专注于窃取各种类型的数据，例如登录凭据、个人信息和财务数据。

Chae$4恶意软件是一种严重威胁，但通过采取措施保护自己，您可以帮助确保数据安全。除了上述信息外，关于 Chae$4，还需要注意以下一些事项：该恶意软件仍在开发中，因此将来可能会添加新的特性或功能;该恶意软件针对特定区域，但将来有可能用于针对其他区域;该恶意软件不断发展，因此及时了解有关该恶意软件的最新信息非常重要。