Οι βιομηχανίες banking και logistics βρίσκονται υπό την επίθεση μιας ανανεωμένης μορφής malware που ονομάζεται Chaes.
Δείτε επίσης: Pizza Hut Australia: Παραβιάστηκε από την ομάδα ShinyHunters
Το Chaes malware, το οποίο εμφανίστηκε για πρώτη φορά το 2020, έγινε γνωστό για τον στόχο του να κλέβει ευαίσθητα οικονομικά στοιχεία από πελάτες ηλεκτρονικού εμπορίου στη Λατινική Αμερική, ιδιαίτερα στη Βραζιλία.
Μια επόμενη ανάλυση από την Avast στις αρχές του 2022 ανέδειξε ότι οι δράστες πίσω από τη λειτουργία, οι οποίοι αποκαλούνται Lucifer, είχαν παραβιάσει περισσότερες από 800 ιστοσελίδες WordPress για να παρέχουν το Chaes malware σε χρήστες της Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre και Mercado Pago.
Πρόσφατες ενημερώσεις ανιχνεύθηκαν τον Δεκέμβριο του 2022, όταν η βραζιλιάνικη εταιρεία κυβερνοασφάλειας Tempest Security Intelligence αποκάλυψε τη χρήση του κακόβουλου λογισμικού Windows Management Instrumentation (WMI) στην αλυσίδα μόλυνσης για την ευκολία συλλογής μεταδεδομένων του συστήματος, όπως πληροφορίες BIOS, επεξεργαστή, μέγεθος δίσκου και μνήμης.
Η πιο πρόσφατη έκδοση του κακόβουλου λογισμικού, με την ονομασία Chae$ 4, περιλαμβάνει “σημαντικές μετατροπές και βελτιώσεις”, συμπεριλαμβανομένου ενός εκτεταμένου καταλόγου υπηρεσιών που στοχεύουν στην κλοπή credential καθώς και λειτουργιών clipper.
Παρά τις αλλαγές στην αρχιτεκτονική του κακόβουλου λογισμικού, ο συνολικός μηχανισμός παράδοσης παρέμεινε ίδιος στις επιθέσεις που εντοπίστηκαν τον Ιανουάριο του 2023.
Τα πιθανά θύματα που προσγειώνονται σε μία από τις παραβιασμένες ιστοσελίδες καλωσορίζονται από ένα αναδυόμενο μήνυμα που τους ζητά να κατεβάσουν ένα πρόγραμμα εγκατάστασης για το Java Runtime ή μια antivirus λύση, ενεργοποιώντας έτσι την εκτέλεση ενός κακόβουλου αρχείου MSI που, στη συνέχεια, εκκινεί ένα κύριο module γνωστό ως ChaesCore.
Δείτε επίσης: Suffolk High School: Εκτός σύνδεσης μετά από κυβερνοεπίθεση
Ο συγκεκριμένος εξαρτηματικός ρόλος είναι υπεύθυνος για τη δημιουργία μιας καναλιοποίησης επικοινωνίας με τον διακομιστή ελέγχου και ελέγχου (C2) από όπου ανακτά πρόσθετα modules που υποστηρίζουν δραστηριότητες μετά την παραβίαση και κλοπή δεδομένων:
- Init, το οποίο συγκεντρώνει εκτενείς πληροφορίες για το σύστημα
- Online, το οποίο λειτουργεί ως beacon για τη μετάδοση ενός μηνύματος στον εισβολέα ότι το κακόβουλο λογισμικό εκτελείται στο μηχάνημα
- Chronod, το οποίο κλέβει τα στοιχεία σύνδεσης που εισάγονται στους web browsers και παρεμβαίνει στις μεταφορές πληρωμών BTC, ETH και PIX.
- Appita, ένα λειτουργικό module με παρόμοια χαρακτηριστικά με αυτή του Chronod αλλά ειδικά σχεδιασμένο για να στοχεύει το desktop app της Itaú Unibanco (“itauaplicativo.exe”)
- Chrautos, μια ενημερωμένη έκδοση των Chronod και Appita που εστιάζει στη συλλογή δεδομένων από το Mercado Libre, το Mercado Pago και το WhatsApp
- Stealer, μια βελτιωμένη παραλλαγή του Chrolog που κλέβει δεδομένα πιστωτικών καρτών, cookies, αυτόματη συμπλήρωση και άλλες πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού και
- File Uploader, το οποίο ανεβάζει δεδομένα που σχετίζονται με την επέκταση Chrome του MetaMask
Η διατήρηση της μόνιμης παρουσίας στον host επιτυγχάνεται μέσω μιας προγραμματισμένης εργασίας, ενώ οι επικοινωνίες C2 περιλαμβάνουν τη χρήση του WebSockets, με την εφαρμογή να τρέχει σε μια ατέρμονη λούπα για να περιμένει περαιτέρω οδηγίες από τον remote server.
Δείτε επίσης: Η Okta προειδοποιεί για επιθέσεις social engineering που στοχεύουν τους IT help desks
Η εστίαση στις μεταφορές κρυπτονομισμάτων και τις άμεσες πληρωμές μέσω της πλατφόρμας PIX της Βραζιλίας αποτελεί μια σημαντική προσθήκη που υπογραμμίζει τα οικονομικά κίνητρα των χάκερ.
Αυτή η μέθοδος περιλαμβάνει την τροποποίηση όλων των συντομεύσεων (LNK) που σχετίζονται με τους περιηγητές ιστού (π.χ., Google Chrome, Microsoft Edge, Brave και Avast Secure Browser) για να εκτελούν το Chronod module αντί του πραγματικού περιηγητή.
Πηγή πληροφοριών: thehackernews.com
