الإصدار الجديد من malware Chaes يستهدف الصناعات المصرفية واللوجستية. تتعرض الصناعات المصرفية واللوجستية لهجوم من نوع جديد من malware يسمى Chaes.
“لقد خضع لإصلاحات رئيسية: من إعادة كتابته بالكامل بلغة Python ، مما أدى إلى انخفاض معدلات الكشف من قبل أنظمة الدفاع التقليدية ، إلى إعادة تصميم شامل وبروتوكول اتصال محسن” ، كما قال Morphisec في تقرير تقني مفصل جديد تم مشاركته مع The Hacker News.
Chaes ، الذي ظهر لأول مرة في عام 2020 ، معروف ب targeting عملاء التجارة الإلكترونية في أمريكا اللاتينية ، وخاصة البرازيل ، لسرقة المعلومات المالية الحساسة.
وجدت analysis لاحقة من Avast في أوائل عام 2022 أن الجهات الفاعلة في التهديد التي تقف وراء العملية ، الذين يطلقون على أنفسهم Lucifer ، قد اخترقوا أكثر من 800 موقع WordPress لتوصيل Chaes إلى مستخدمي Banco do Brasil و Loja Integrada و Mercado Bitcoin و Mercado Livre و Mercado Pago.
تحديثات أخرى في ديسمبر 2022.
تم detection. عندما اكتشفت شركة الأمن السيبراني البرازيلية Tempest Security Intelligence استخدام malware لـ Windows Management Instrumentation (WMI) في سلسلة العدوى الخاصة به لتسهيل جمع بيانات نظام ال metadata ، مثل BIOS ، المعالج ، حجم القرص ، و معلومات الذاكرة.
ال iteration الأحدث من malware ، المسمى Chae $ 4 في إشارة إلى debug log messages الموجودة في الكود المصدري. يتضمن “Transformations transformations و enhancements enhancements”. بما في ذلك كتالوج موسع من الخدمات المستهدفة لسرقة ال credentials بالإضافة إلى وظائف clipper.
على الرغم من التغييرات في architecture malware ، إلا أن overall delivery mechanism ظلت كما هي في attacks التي تم تحديدها في يناير 2023.
يُ greeted الضحايا المحتملون الذين ي landed على أحد المواقع compromised برسالة منبثقة تطلب منهم تنزيل برنامج installer لـ Java Runtime أو حل مضاد للفيروسات ، مما يؤدي إلى deployment نشر ملف MSI ضار يطلق بدوره ملفًا رئيسيًا مُ orchestrator ًا يُعرف باسم ChaesCore.
الـ component.
مسؤول عن إنشاء قناة اتصال مع خادم command-and-control (C2) من حيث ي fetching مزيد من الmodules التي تدعم النشاط ما بعد compromise و data theft –
Init ، الذي يجمع معلومات م extensive واسعة عن النظام Online ، الذي يعمل ك beacon لإرسال رسالة إلى المهاجم أن malware قيد التشغيل على الجهاز Chronod. الذي يسرق login credentials التي تم إدخالها في web browsers و intercept BTC و ETH و PIX payment transfers Appita ، وهو module مع ميزات مشابهة لتلك الخاصة بـ Chronod ولكن مصمم خصيصًا لـ Itaú Unibanco’s desktop app (“itauaplicativo.exe”) Chrautos. وهو إصدار محدث من Chronod و Appita يركز على جمع البيانات من Mercado Libre و Mercado Pago و WhatsApp Stealer ، وهو variant محسن من Chrolog الذي ينهب بيانات بطاقات الائتمان ، cookies ، autofill ، وغيرها من المعلومات stored في web browsers. و File Uploader. الذي ي upload بيانات related إلى MetaMask’s Chrome extension يتم تحقيق persistence على المضيف عن طريق means of a scheduled task. بينما تتضمن اتصالات C2 استخدام WebSockets ، مع تشغيل الزرع في loop infinite لانتظار مزيد من التعليمات من الخادم البعيد.
يُعد استهداف cryptocurrency transfers و instant payments عبر Brazils’ PIX platform إضافة noteworthy جديرة بالاهتمام تؤكد دوافع ال threat actors المالية.
“ي introduces introduce the Chronod module مكونًا آخرًا يستخدم في ال framework. وهو مكون يسمى Module Packer” ، أوضح Morphisec. “يوفر هذا المكون للوحدة Persistence و migration mechanisms الخاصة بها. ويعمل much like the ChaesCore’s one.”
تتضمن هذه الطريقة تغيير جميع ملفات shortcut files (LNK) المرتبطة بـ web browsers (مثل Google Chrome و Microsoft Edge و Brave و Avast Secure Browser) لتشغيل the Chronod module بدلاً من المتصفح الفعلي.
“يستخدم malware بروتوكول Google’s DevTools Protocol للاتصال بمثيل المتصفح الحالي”. قالت الشركة. “يسمح هذا البروتوكول بالاتصال المباشر مع functionality inner functionality للمتصفح عبر WebSockets.”
“يسمح نطاق واسع من capabilities exposed بواسطة هذا البروتوكول للمهاجم بتشغيل scripts. وintercept network requests.
استنتاج:
الإصدار الجديد من malware Chaes هو تهديد خطير يستهدف الصناعات المصرفية واللوجستية. يتميز بمجموعة واسعة من الميزات الجديدة التي تجعله أكثر صعوبة في الاكتشاف والإزالة. من المهم أن تكون على دراية بهذا التهديد وأن تتخذ خطوات لحماية نفسك.
فيما يلي بعض النصائح للحماية من malware Chaes:
- تحديث برامجك ونظام التشغيل بانتظام. غالبًا ما تقوم الشركات المصنعة بإصدار تصحيحات لإصلاح الثغرات الأمنية التي يمكن أن تستغلها المتسللون.
- استخدم برامج مكافحة الفيروسات وبرامج الأمان الأخرى. يمكن أن تساعد هذه البرامج في اكتشاف وإزالة malware.
- كن حذرًا من البريد الإلكتروني والرسائل النصية المشبوهة. لا تفتح أي مرفقات أو تنقر على أي روابط من مصادر غير معروفة.
- قم بإجراء نسخ احتياطي لبياناتك بانتظام. إذا تعرضت بياناتك للاختراق، فستكون لديك نسخة احتياطية يمكنك استردادها.
إضافة:
بالإضافة إلى النصائح المذكورة أعلاه. يمكن للمستخدمين اتخاذ خطوات إضافية للحماية من malware Chaes. على سبيل المثال. يمكنهم استخدام برامج أمان متقدمة توفر الحماية من البرامج الضارة التي يتم تسليمها من خلال التصيد الاحتيالي أو هجمات الهندسة الاجتماعية الأخرى. يمكنهم أيضًا استخدام برامج أمان تسمح لهم بالتحكم في الوصول إلى التطبيقات والبيانات على أجهزتهم.
من المهم أن تتذكر أن malware Chaes هو تهديد مستمر. من خلال اتخاذ خطوات للحماية من هذا التهديد. يمكن للمستخدمين تقليل مخاطر تعرضهم للسرقة أو الاحتيال.
الإصدار الجديد من malware Chaes يستهدف الصناعات المصرفية واللوجستية. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.