Morphisec Threat Labs je dokumentovao svoja otkrića o Chae$ 4.1, ažuriranju serije Chae malver Infostealer, kao dio svoje istrage o novonastalim sajber prijetnjama. Izvještaj istražuje novu Chae$ varijantu, naglašavajući njenu mehaniku, implikacije i mjere zaštite.
Još u septembru 2023. godine, Morphisec je podijelio svoju analizu o novoj varijanti Chae$ malvera, nazvanoj Chae$4 sa Hackread.com. Mlaver je ciljao kredencijale za prijavu, finansijske podatke i druge osjetljive informacije kupaca e-trgovine, posebno u Brazilu.
Chae$4 se brzo razvijao, a u svom najnovijem istraživačkom blogu, Morphisec je pružio detalje o ažuriranjima u Chae$ 4.1, koji uključuje poboljšani Chronod modul i iznenađujuće, direktnu poruku Morphisec timu unutar izvornog koda. Verzija 4.1 je značajno poboljšanje u odnosu na prethodne grube sile i osnovne metode obfuskacije.
Autori malvera Chae$ 4.1 šalju poruku istraživačima Morphisec-a.
Lanac zaraze počinje e-poštom na portugalskom jeziku, u kojoj se tvrdi da je hitan zahtjev advokata u vezi sa pravnim slučajem. Žrtva se zatim preusmjerava na obmanjujuću web stranicu (totalavprotectionshop/abrirProcesso.php?email=), gdje se od nje traži da preuzme ZIP datoteku. Ova web stranica takođe funkcioniše kao obmanjujuća web stranica za TotalAV, direktno isporučujući MSI instalater bez posrednog koraka ZIP datoteke.
Druga web stranica, (webcamcheckonline), navodno skenira mašinu tražeći rizike i ažurira drajver nakon skeniranja. Nakon što žrtva klikne na dugme BLOCK, JavaScript se izvršava u pozadini, oponašajući legitimno skeniranje sistema, koje predstavlja tvrdo kodiranu listu datoteka, stvarajući iluziju sveobuhvatne kompjuterske analize uređaja.
Kada je skeniranje završeno, napadač šalje poruku u kojoj piše „Otkriven je sigurnosni rizik“ i traži od žrtve da preuzme ažurirani drajver kako bi eliminisao rizik. Nesuđena žrtva klikne na dugme, što pokreće skriptu pod nazivom download.js za pokretanje maliciozne instalacije.
Kada je instalater aktiviran, Chae$ 4.1 se takođe pokreće, i od ove tačke, lanac napada prati sličan put kao što je Morphisec otkrio u prethodnim analizama, osim nekih napretka u Chae$ okviru, kao što su modifikacije u Chronod modulu. Nakon uspješne aktivacije, eksfiltrirani podaci se isporučuju na hakerov C2 i stranicu za prijavu na panel Chae$ tima.
Chronod modul presreće aktivnosti korisnika kako bi ukrao informacije kao što su kredencijali za prijavu i bankovne informacije. Obuhvata preko 2.000 linija koda i prilagođen je za krađu kredencijala iz određenih usluga kao što su WhatsApp, AWS i WordPress. U verziji 4.1, Chae$ tim je prepisao modul tako da bude generičniji i modularniji, podijelivši logiku na nekoliko klasa umjesto jedne klase odgovorne za svu funkcionalnost.
Chae$ 4.1 takođe koristi napredni polimorfizam koda za zaobilaženje antivirusnog otkrivanja i otkrivanje okruženja sandbox-a, što izaziva zabrinutost u vezi njegovog potencijalnog uticaja na korisnike.
Lanac zaraze malvera Chae$ 4.1
Da biste ostali sigurni, redovno ažurirajte svoj operativni sistem i softver, koristite slojevito sigurnosno rješenje s naprednim otkrivanjem malvera, budite oprezni kada kliknete na sumnjive veze ili otvarate priloge i redovno napravite sigurnosnu kopiju kritičnih podataka. Informisanje i usvajanje robusnih sigurnosnih praksi mogu pomoći u zaštiti od sajber napada.
Izvor: Hackread