Chaes : nouvelle variante Python ciblant la banque et la logistique

« Il a subi d’importantes modifications : il a été entièrement réécrit en Python, ce qui a entraîné des taux de détection plus faibles par les systèmes de défense traditionnels, puis il a été entièrement remanié et son protocole de communication a été amélioré », explique Morphisec dans un nouveau rapport technique détaillé transmis à The Hacker News.

Chaes, qui est apparu pour la première fois en 2020, est connu pour cibler les clients du commerce électronique en Amérique latine, en particulier au Brésil, afin de voler des informations financières sensibles.

Une analyse ultérieure d’Avast au début de 2022 a révélé que les acteurs de la menace derrière l’opération, qui se font appeler Lucifer, avaient pénétré dans plus de 800 sites Web WordPress pour livrer Chaes aux utilisateurs de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre, et Mercado Pago.

D’autres mises à jour ont été détectées en décembre 2022, lorsque la société brésilienne de cybersécurité Tempest Security Intelligence a découvert que le logiciel malveillant utilisait Windows Management Instrumentation (WMI) dans sa chaîne d’infection pour faciliter la collecte de métadonnées système, telles que le BIOS, le processeur, la taille du disque et les informations relatives à la mémoire.

La dernière itération du logiciel malveillant, baptisée Chae$ 4 en référence aux messages de débogage présents dans le code source, apporte « des transformations et des améliorations significatives », notamment un catalogue élargi de services ciblés pour le vol d’informations d’identification, ainsi que des fonctionnalités de clippage.

Malgré les modifications apportées à l’architecture du logiciel malveillant, le mécanisme général de diffusion est resté le même dans les attaques identifiées en janvier 2023.

Les victimes potentielles qui arrivent sur l’un des sites web compromis sont accueillies par un message pop-up leur demandant de télécharger un programme d’installation pour Java Runtime ou une solution antivirus, ce qui déclenche le déploiement d’un fichier MSI malveillant qui, à son tour, lance un module orchestrateur primaire connu sous le nom de ChaesCore. Ce composant est chargé d’établir un canal de communication avec le serveur de commande et de contrôle (C2), d’où il récupère des modules supplémentaires qui prennent en charge les activités post-compromission et le vol de données. La persistance sur l’hôte est réalisée au moyen d’une tâche planifiée, tandis que les communications C2 impliquent l’utilisation de WebSockets avec un implant qui tourne en boucle infinie en attendant d’autres instructions de la part d’un serveur distant. Le ciblage des transferts de crypto-monnaies et des paiements instantanés via la plateforme brésilienne PIX est un ajout remarquable qui souligne les motivations financières des acteurs de la menace.

Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces avec l’aide de SSPM. Le module Chronod introduit un autre composant utilisé dans le framework, appelé Module Packer, qui fournit au module ses propres mécanismes de migration de la persistance, fonctionnant de la même manière que celui de ChaesCore. Cette méthode consiste à modifier tous les fichiers de raccourcis (LNK) associés aux navigateurs web (par exemple, Google Chrome Microsoft Edge Brave Avast Secure Browser) afin d’exécuter le module Chronod à la place du navigateur actuel. Le logiciel malveillant utilise le protocole DevTools de Google pour connecter l’instance actuelle du navigateur, a déclaré la société. Ce protocole permet une communication directe avec les fonctionnalités du navigateur interne par le biais de WebSockets. La vaste gamme de capacités exposées dans ce protocole permet à l’attaquant d’exécuter des scripts, d’intercepter des requêtes réseau, de lire les corps POST avant qu’ils ne soient cryptés, et bien plus encore.