อุตสาหกรรมการธนาคาร และโลจิสติกส์ กําลังอยู่ภายใต้การโจมตีของมัลแวร์ที่ชื่อว่า Chaes ที่ได้รับการปรับปรุงใหม่
Morphisec ให้ข้อมูลกับ The Hacker News ว่า "มัลแวร์ได้รับการยกเครื่องครั้งใหญ่ จากการเขียนใหม่ทั้งหมดด้วย Python ซึ่งส่งผลให้อัตราการถูกตรวจจับได้โดยระบบการป้องกันแบบดั้งเดิมลดลง ไปจนถึงการออกแบบใหม่ที่ครอบคลุมโปรโตคอลการติดต่อสื่อสารระหว่างมัลแวร์กับผู้โจมตีก็ได้รับการปรับปรุงเช่นเดียวกัน"
Chaes ถูกพบครั้งแรกในปี 2020 และเป็นที่ทราบกันดีว่ามีการมุ่งเป้าไปที่ลูกค้า e-commerce ในอเมริกา โดยเฉพาะบราซิลเพื่อขโมยข้อมูลทางการเงิน
จากรายงานการวิเคราะห์ของ Avast ในช่วงต้นปี 2022 พบว่า ผู้ที่อยู่เบื้องหลังการโจมตี ซึ่งเรียกตัวเองว่าลูซิเฟอร์ (Lucifer) ได้โจมตีเว็ปไซต์ WordPress กว่า 800 เว็ปไซต์เพื่อติดตั้งมัลแวร์ Chaes กับผู้ใช้งานของ Bancoo Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre และ Mercado Pago
ในเดือนธันวาคม 2022 Tempest Security Intelligence บริษัทรักษาความปลอดภัยทางไซเบอร์ของบราซิล พบว่ามัลแวร์ตัวนี้ใช้ Windows Management Instrumentation (WMI) ในการโจมตีอย่างต่อเนื่อง เพื่อรวบรวมข้อมูลของระบบ เช่น BIOS, โปรเซสเซอร์, ขนาดดิสก์ และข้อมูลหน่วยความจำ
ส่วนมัลแวร์เวอร์ชันล่าสุดที่ชื่อว่า Chae$ 4 (อ้างอิงจากข้อความใน debug log ที่มีอยู่ในซอร์สโค้ด) ประกอบด้วยบริการที่เพิ่มขึ้น ซึ่งมีเป้าหมายสำหรับการขโมยข้อมูลประจำตัวตลอดจน clipper functionalities
แม้ว่าจะมีการเปลี่ยนแปลงสถาปัตยกรรมของมัลแวร์ แต่กลไกการส่งข้อมูลโดยรวมยังคงเหมือนเดิมในการโจมตีที่พบในเดือนมกราคม 2023
ผู้ที่อาจตกเป็นเหยื่อเมื่อมีการเข้าใช้งานบนเว็ปไซต์ที่ถูก compromise แล้ว จะได้รับข้อความป๊อปอัพที่ขอให้พวกเขาดาวน์โหลดตัวติดตั้ง Java Runtime หรือโซลูชันป้องกันมัลแวร์ ซึ่งจะให้มีการติดตั้งไฟล์ MSI ที่เป็นอันตราย และเปิดการทำงานของโมดูล ChaesCore
โดยมันจะมีหน้าที่สร้างช่องทางการสื่อสารกับ C2 Server ซึ่งจะดึงโมดูลเพิ่มเติมที่รองรับการดำเนินการภายหลังจากการ compromise และการขโมยข้อมูล
- Init, จะรวบรวมข้อมูลจํานวนมากเกี่ยวกับระบบ
- Online, ทำหน้าที่เป็นเครื่องส่งสัญญาณ เพื่อส่งข้อความกลับไปยังผู้โจมตีว่ามัลแวร์กำลังทำงานบนเครื่อง
- Chronod, ขโมยข้อมูลประจำตัวการเข้าสู่ระบบที่ป้อนในเว็ปเบราเซอร์ และดักจับการโอนการชำระเงิน BTC, ETH และ PIX
- Appita, โมดูลที่มีฟังก์ชันการทํางานคล้ายคลึงกับ Chronod แต่ได้รับการออกแบบโดยเฉพาะเพื่อมุ่งเป้าไปที่แอปเดสก์ท็อปของ Itaú Unibanco ("itauaplicativo.exe")
- Chrautos, Chronod และ Appita เวอร์ชันอัปเดตที่เน้นการรวบรวมข้อมูลจาก Mercado Libre, Mercado Pago และ WhatsApp
- Stealer, เวอร์ชันปรับปรุงของ Chrolog เพื่อขโมยข้อมูลบัตรเครดิต, คุกกี้, autofill และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในเว็ปเบราว์เซอร์
- File Uploader, อัปโหลดข้อมูลที่เกี่ยวข้องกับ Chrome extension ของ MetaMask
ส่วนการแฝงตัวบนระบบ จะทํางานผ่าน scheduled task ที่กำหนดไว้ ในขณะที่การสื่อสารกับ C2 Server จะใช้ WebSockets เพื่อรอรับคำสั่งเพิ่มเติมจากเซิร์ฟเวอร์ของผู้โจมตี
การกำหนดเป้าหมายการโอนเงิน cryptocurrency และการชำระเงินทันทีผ่านแพลตฟอร์ม PIX ของบราซิลเป็นส่วนเสริมที่น่าสนใจ ซึ่งแสดงให้เห็นถึงแรงจูงใจทางด้านการเงินของผู้โจมตี
Morphisec ระบุว่าโมดูล Chronod จะนำไปสู่คอมโพเนนต์อื่นที่ใช้ในเฟรมเวิร์ก ซึ่งเป็นคอมโพเนนต์ที่เรียกว่า Module Packer ซึ่งคอมโพเนนต์นี้ช่วยให้โมดูลของมัลแวร์สามารถแฝงตัวอยู่บนระบบได้ดีขึ้น
โดยจะมีการใช้ shortcut files (LNK) ทั้งหมดที่เกี่ยวข้องกับเว็ปเบราว์เซอร์ เช่น google chrome, microsoft edge, brave และ avast secure browser เพื่อเรียกโมดูล chronod แทนที่จะเป็นเบราว์เซอร์จริง
มัลแวร์นี้ใช้โปรโตคอล DevTools ของ Google เพื่อเชื่อมต่อกับอินสแตนซ์ของเบราว์เซอร์ในปัจจุบัน ซึ่งโปรโตคอลนี้จะสื่อสารโดยตรงกับฟังก์ชันของเบราว์เซอร์ภายในผ่าน WebSockets
ที่มา : Thehackernews
You must be logged in to post a comment.