Chaes kötü amaçlı yazılım, kurbanın tarayıcı işlevlerine doğrudan erişim için Google Devtools protokolünün özel bir uygulamasını içeren yeni, daha gelişmiş bir varyant olarak geri döndü ve bu da WebSockets kullanarak veri çalmasına izin verdi.
Kötü amaçlı yazılım ilk olarak Kasım 2020'de Wild'da ortaya çıktı ve Latin Amerika'daki e-ticaret müşterilerini hedef aldı. Operasyonları, Avast'ın kötü amaçlı yazılımları dağıtmak için 800 tehlikeye atılmış WordPress sitesi kullanarak gözlemlediğinde 2021'in sonlarına kadar önemli ölçüde genişledi.
Enfeksiyon üzerine Chaes, kurbanın krom tarayıcısına kalıcılık oluşturmak, ekran görüntülerini yakalar, kaydedilmiş şifreleri ve kredi kartlarını çalar, çerezleri açığa çıkarır ve çevrimiçi bankacılık kimlik bilgilerini keser.
Yeni Chaes versiyonu, Ocak 2023'te Morphisec tarafından görüldü ve öncelikle Mercado Libre, Mercado Pago, Whatsapp Web, ITAU Bank, Caixa Bank, Metamask ve WordPress ve Joomla gibi birçok CMS hizmeti gibi platformları hedefliyor.
En son kampanyadaki enfeksiyon zinciri, çeşitli işlevler gerçekleştiren yedi farklı modül kullanan çok aşamalı bir enfeksiyonu tetikleyen aldatıcı MSI montajcılarını içeren geçmişte görülenlerle aynıdır.
En yeni Chaes varyant, tahtada iyileştirmeler sunar ve kötü amaçlı yazılımların işlevselliğini daha gizli ve daha etkili hale getirir.
Morphisec, en son Chaes sürümünde aşağıdaki değişiklikleri vurgular:
Kuklacı, AVAST'ın geçen yıl ihlal edilen cihazların tarayıcılarına kurulan iki uzantısı şöhretinin bir parçası olarak belgelenen başsız modda (kullanıcılardan gizlenen) kontrol etmek için üst düzey API sağlayan bir Node.js kütüphanesidir.
Bununla birlikte, göze çarpan yeni bir özellik, chaes'in web sayfalarının gerçek zamanlı modifikasyonu, javascript kodunun yürütülmesi, ağ isteği yönetimi, bellek yönetimi, kurabiye de dahil olmak üzere web tarayıcısından veri çalmak için Chrome Devtools protokolünü kullanmasıdır. ve önbellek yönetimi ve daha fazlası.
Morphisec, "Hedeflenen hizmetin kullanıcı tarafından açılmasını beklemek yerine, modül hizmetin web sitesini aktif olarak açar ve hepsi Google'ın Devtools protokolünü kullanarak yapılan ilgili verileri çalır."
"Her görev kendi sekmesini açar ve modülde enjekte edilen JavaScript kodu aracılığıyla yürütülecek ilgili işlevleri ortaya çıkarır."
"İlgili verileri ve işlevleri ayarladıktan sonra, modül, JavaScript enjeksiyonunu gezinen URL'ye tetikleyen bir sayfa.
Chaes, Stealer modülünün veri çalacak şekilde yapılandırıldığı tüm URL'ler için aynı işlemi otomatik olarak tekrarlar.
WebSockets Communications'ın benimsenmesi, 'Chrautos' modülünde, C2 iletişiminden ve JavaScript enjeksiyonları aracılığıyla WhatsApp Web'den veri çalmaktan sorumlu bir diğer önemli değişikliktir.
WebSockets, gerçek zamanlı, düşük gecikmeli veri alışverişi için kalıcı iletişimi destekler, hem metni hem de ikili verileri iletebilir, talep önbelleğe alınmasını veya proxying gerektirmez ve genellikle HTTP'den daha gizlidir.
Morphisec, C2 ve kötü amaçlı yazılım istemcisi arasında değiştirilen tüm mesajların JSON biçimlendirilmiş, Base64 kodlu ve AES şifreli olduğunu bildirir.
Chaes, enfekte olmuş sistemlerde kötü amaçlı işlemler gerçekleştirmek için Google Chrome'un Devtools protokolünün özel bir uygulamasını içeren ilk dikkate değer kötü amaçlı yazılım vakasıdır.
Morphisec, kötü amaçlı yazılım modüllerinin aktif geliştirme altında olduğuna dair birçok işaret gördüğünü, bu nedenle işlevlerinin yakında genişletilebileceğini ve geliştirilebileceğini belirtiyor.
Google Chrome, yüklü uzantılar kötü amaçlı yazılımdır
Raccoon Stealer Malware yeni daha gizli sürümle döner
Chrome kötü amaçlı yazılım Rilide, PowerPoint kılavuzları aracılığıyla kurumsal kullanıcıları hedefler
Google Haftalık Krom Güvenlik Güncellemeleri ile Hacker'la savaşmak için
Google Gmail Geliştirilmiş Güvenli Görünme etkinleştirilmesi için sürekli nagging
Kaynak: Bleeping Computer