A rede está cada vez mais insegura, quando o assunto é agente malicioso. Agora, por exemplo, uma campanha envolvendo mais de 800 sites WordPress comprometidos está espalhando trojans bancários que visam as credenciais de usuários brasileiros de e-banking. O trojan usado nesta campanha é chamado de Chaes e, de acordo com pesquisadores da Avast, está se espalhando ativamente desde o final de 2021.
Apesar de a empresa de segurança ter notificado o CERT brasileiro, a campanha está em andamento, com centenas de sites ainda comprometidos com scripts maliciosos que espalham o malware.
Ataque do Chaes
O malware conta com uma cadeia de ataque que atua da seguinte forma: quando a vítima visita um dos sites comprometidos, ela recebe um pop-up que solicita a instalação de um aplicativo Java Runtime falso.
O instalador MSI contém três arquivos JavaScript maliciosos (install.js, sched.js, sucesso.js) que preparam o ambiente Python para o próximo carregador de estágio. O script sched.js adiciona persistência criando uma tarefa agendada e um link de inicialização, e o sucesso.js é responsável por relatar o status ao C2, aponta o BleepingComputer.
A cadeia do carregador do Python se desdobra na memória e envolve o carregamento de vários scripts, shellcode e DLLs Delphi até que tudo esteja pronto para executar a carga útil final em um processo Python. O estágio final é realizado pelo Instructions.js, que busca as extensões do Chrome e as instala no sistema da vítima. Finalmente, todas as extensões são iniciadas com os argumentos apropriados.
Extensões do Chrome
A Avast diz que viu cinco extensões maliciosas do navegador Chrome instaladas nos dispositivos das vítimas, incluindo:
Online – Imprime as impressões digitais da vítima e escreve uma chave de registro.
Mtps4 – Conecta-se ao C2 e aguarda PascalScripts de entrada. Também é capaz de capturar uma captura de tela e exibi-la em tela cheia para ocultar tarefas maliciosas em execução em segundo plano.
Chrolog – Rouba senhas do Google Chrome, exfiltrando o banco de dados para o C2 através de HTTP.
Chronodx – Um carregador e trojan bancário JS que é executado silenciosamente em segundo plano e aguarda a inicialização do Chrome. Se o navegador for aberto, ele o fechará imediatamente e reabrirá sua própria instância do Chrome, que possibilita a coleta de informações bancárias.
Chremows – Tem como alvo as credenciais do mercado online do Mercado Livre.
A campanha ainda está em andamento
Neste momento, a campanha do Chaes ainda está em andamento, e aqueles que foram comprometidos permanecerão em risco, mesmo que os sites sejam limpos. A Avast afirma que alguns dos sites comprometidos abusados ??para descartar as cargas úteis são muito populares no Brasil, então o número de sistemas infectados provavelmente é grande, lembra o BleepingComputer.
Via: BleepingComputer
