最初的Chae$恶意软件于2023年9月被发现，其最新版本被称为Chae$ 4.1，采用高级代码多态性来绕过防病毒检测。最新的Chae$ 4.1在源代码中向Morphisec的网络安全研究人员发送直接消息。

Morphisec威胁实验室已记录其在Chae$ 4.1上的发现，Chae$ 4.1是Chae恶意软件Infostealer系列的更新，作为其对新兴网络威胁调查的一部分。该报告探讨了新的Chae$变体，强调了其机制、影响和保护措施。

早在2023年9月，Morphisec就分享了对Chae$恶意软件新变种（称为Chae$4）的分析。该恶意软件针对电子商务客户（尤其是巴西客户）的登录凭据、财务数据和其他敏感信息。

Chae$4正在迅速发展，Morphisec在其最新的研究博客中提供了Chae$ 4.1更新的详细信息，其中包括改进的Chronod模块，令人惊讶的是，在源代码中向Morphisec团队发送了直接消息。4.1版本比以前的暴力破解和基本混淆方法有了显着改进。

感染链始于一封葡萄牙语电子邮件，声称是律师就法律案件发出的紧急请求。然后，受害者会被重定向到欺骗性网站 (totalavprotectionshop/abrirProcesso.php?email=)，并提示他们下载ZIP文件。该网站还充当TotalAV的欺骗性网站，直接提供MSI安装程序，无需ZIP文件的中间步骤。

另一个网站（webcamcheckonline）据称会扫描机器是否存在风险，并在扫描后更新驱动程序。受害者单击“阻止”按钮后，JavaScript将在后台执行，模仿合法的系统扫描，呈现硬编码的文件列表，从而产生对设备进行全面计算机分析的假象。

扫描完成后，攻击者会发送一条消息，指出“检测到安全风险”，并提示受害者下载更新的驱动程序以消除风险。毫无戒心的受害者单击该按钮，这会触发名为download.js的脚本来运行恶意安装程序。

安装程序激活后，Chae$ 4.1也会被触发，从这一点开始，攻击链遵循与Morphisec在之前的分析中发现的类似路径，除了Chae$框架的一些改进，例如Chronod模块的修改。成功激活后，泄露的数据将传送到威胁参与者的C2和Chae$团队面板登录页面。

Chronod模块拦截用户活动以窃取登录凭据和银行信息等信息。它包含2000多行代码，并经过调整，可以从WhatsApp、AWS和WordPress等特定服务窃取凭证。在4.1版本中，Chae$团队重写了该模块，使其更加通用和模块化，将逻辑划分为多个类，而不是一个负责所有功能的类。

Chae$ 4.1还采用高级代码多态性来绕过防病毒检测并检测沙箱环境，引发人们对其对用户潜在影响的担忧。

为了确保安全，请定期更新操作系统和软件，使用具有高级恶意软件检测功能的分层安全解决方案，在点击可疑链接或打开附件时保持谨慎，并定期备份关键数据。及时了解情况并采用强大的安全实践有助于防范网络攻击。