Chaes恶意软件的新Python变种以银行和物流业为目标

银行和物流行业正遭受一种名为 "Chaes "恶意软件变种的意软业攻击。

Morphisec 在与《黑客新闻》分享的新P行和一份新的详细技术报告中说：“Chaes”经历了重大的改版，从完全用 Python 重写
，物流到整体重新设计和增强通信协议，目标导致传统防御系统的意软业检测率降低。

据了解，新P行和Chaes 于 2020 年首次出现
，物流主要针对拉丁美洲（尤其是目标巴西）的电子商务客户窃取敏感的财务信息 。

Avast 在 2022 年初发现
，建站模板意软业自称为路西法的新P行和幕后威胁者已经入侵了 800 多个 WordPress 网站，向巴西银行、物流Loja Integrada、目标Mercado Bitcoin、意软业Mercado Livre 和 Mercado Pago 的新P行和用户发送 Chaes 。

2022 年 12 月，物流巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation（WMI），以方便收集系统元数据，如 BIOS 、处理器
 、磁盘大小和内存信息。

该恶意软件的最新迭代版本被称为 Chae$ 4（参考源代码中的调试日志信息） ，云计算其中包含了扩大针对凭证盗窃的服务目录以及剪切功能
。

尽管恶意软件架构发生了变化 ，但在 2023 年 1 月发现的攻击中
，总体传输机制保持不变。

潜在受害者登陆其中一个被入侵的网站后 ，会弹出一个消息 ，要求他们下载 Java Runtime 或防病毒解决方案的安装程序，从而触发恶意 MSI 文件的部署，该文件反过来又会启动一个名为 ChaesCore 的主协调器模块 。

该组件负责建立与命令控制（C2）服务器的源码库通信渠道，从中获取支持入侵后活动和数据盗窃的其他模块 。

主机上的服务器租用持久性是通过计划任务完成的  ，而 C2 通信则需要使用 WebSockets ，植入程序会无限循环运行
，等待远程服务器的进一步指令。

通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标，凸显了攻击者的攻击嗅觉
。

Morphisec 进一步解释说：Chronod 模块引入了框架中使用的另一个组件，一个名为 "模块打包器 "的源码下载组件。这个组件为模块提供了自己的持久性和迁移机制 ，其工作原理与ChaesCore的机制非常相似。

这种方法包括更改与网页浏览器（如谷歌 Chrome
、微软 Edge、Brave 和 Avast 安全浏览器）相关的所有快捷方式文件（LNK），以执行 Chronod 模块，而不是实际的浏览器。

该公司表示 ：恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例
。该协议允许通过 WebSockets 与内部浏览器功能直接通信。

该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求 、在加密前读取 POST 体等。

参考链接 ：https://thehackernews.com/2023/09/new-python-variant-of-chaes-malware.html

最新评论