社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Python

Chaes恶意软件的新Python变种以银行和物流业为目标

FreeBuf • 1 年前 • 291 次点击  


银行和物流行业正遭受一种名为 "Chaes "恶意软件变种的攻击。


Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说:“Chaes”经历了重大的改版,从完全用 Python 重写,到整体重新设计和增强通信协议,导致传统防御系统的检测率降低。


据了解,Chaes 于 2020 年首次出现,主要针对拉丁美洲(尤其是巴西)的电子商务客户窃取敏感的财务信息。


Avast 在 2022 年初发现,自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站,向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。


2022 年 12 月,巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation(WMI),以方便收集系统元数据,如 BIOS、处理器、磁盘大小和内存信息。


该恶意软件的最新迭代版本被称为 Chae$ 4(参考源代码中的调试日志信息),其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。


尽管恶意软件架构发生了变化,但在 2023 年 1 月发现的攻击中,总体传输机制保持不变。


潜在受害者登陆其中一个被入侵的网站后,会弹出一个消息,要求他们下载 Java Runtime 或防病毒解决方案的安装程序,从而触发恶意 MSI 文件的部署,该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。


该组件负责建立与命令控制(C2)服务器的通信渠道,从中获取支持入侵后活动和数据盗窃的其他模块 。


  • 初始化,收集系统的大量信息

  • 在线,作为信标向攻击者回传信息,表明恶意软件正在机器上运行

  • Chronod 会窃取在网页浏览器中输入的登录凭证,并拦截 BTC、ETH 和 PIX 支付转账

  • Appita 模块,具有与 Chronod 类似的功能,但专门针对 Itaú Unibanco 的桌面应用程序("itauaplicativo.exe")。

  • Chrautos 是 Chronod 和 Appita 的升级版本,主要从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据。

  • 窃取程序,Chrolog 的改进版,可窃取信用卡数据、cookie、自动填充和其他存储在网络浏览器中的信息。

  • 文件上传器,用于上传与 MetaMask 的 Chrome 扩展相关的数据。


主机上的持久性是通过计划任务完成的,而 C2 通信则需要使用 WebSockets,植入程序会无限循环运行,等待远程服务器的进一步指令。

通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标,凸显了攻击者的攻击嗅觉。


Morphisec 进一步解释说:Chronod 模块引入了框架中使用的另一个组件,一个名为 "模块打包器 "的组件。这个组件为模块提供了自己的持久性和迁移机制,其工作原理与ChaesCore的机制非常相似。


这种方法包括更改与网页浏览器(如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器)相关的所有快捷方式文件(LNK),以执行 Chronod 模块,而不是实际的浏览器。


该公司表示:恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。


该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。


FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”,申请加入群聊



https://thehackernews.com/2023/09/new-python-variant-of-chaes-malware.html




Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/161434
 
291 次点击