Một chiến dịch phần mềm độc hại có động cơ tài chính đã xâm nhập hơn 800 trang web WordPress để cung cấp một trojan ngân hàng có tên Chaes nhắm mục tiêu đến các khách hàng Brazil của Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre và Mercado Pago.
Được ghi nhận lần đầu tiên bởi Cybereason vào tháng 11 năm 2020, phần mềm độc hại đánh cắp thông tin được phân phối thông qua một chuỗi lây nhiễm tinh vi được thiết kế để thu thập thông tin nhạy cảm của người tiêu dùng, bao gồm thông tin đăng nhập, số thẻ tín dụng và thông tin tài chính khác.
Các nhà nghiên cứu Anh Ho và Igor Morgenstern của Avast cho biết: “Chaes có đặc điểm là phân phối nhiều giai đoạn sử dụng các khuôn khổ tập lệnh như JScript, Python và NodeJS, các tệp nhị phân được viết bằng Delphi và các tiện ích mở rộng độc hại của Google Chrome”. “Mục đích cuối cùng của Chaes là đánh cắp thông tin đăng nhập được lưu trữ trong Chrome và chặn thông tin đăng nhập của các trang web ngân hàng phổ biến ở Brazil.”
Chuỗi tấn công được kích hoạt khi người dùng truy cập một trong các trang web bị nhiễm, trên đó cửa sổ bật lên sẽ hiển thị, thúc giục họ cài đặt một ứng dụng Java Runtime giả mạo. Nếu người dùng làm theo các hướng dẫn, trình cài đặt giả mạo sẽ bắt đầu một quy trình phân phối phần mềm độc hại phức tạp mà đỉnh điểm là việc triển khai một số mô-đun.
Một số tải trọng trung gian không chỉ được mã hóa mà còn được ẩn dưới dạng mã nhận xét bên trong trang html của miền blogspot Blogger (“awsvirtual[.]blogspot.com “). Trong giai đoạn cuối cùng, một trình nhỏ giọt JavaScript tải xuống và cài đặt tới năm tiện ích mở rộng của Chrome –
Trực tuyến – Một mô-đun Delphi được sử dụng để lấy dấu vân tay nạn nhân và truyền thông tin hệ thống đến máy chủ điều khiển và kiểm soát (C2)
Mtps4 (MultiTela Pascal) – Một cửa hậu dựa trên Delphi có mục đích chính là kết nối với máy chủ C2 và đợi Tập lệnh Pascal phản hồi để thực thi
Chrolog (ChromeLog) – Trình đánh cắp mật khẩu Google Chrome được viết bằng Delphi
Chronodx (Chrome Noder) – Một trojan JavaScript, khi phát hiện nạn nhân khởi chạy trình duyệt Chrome, hãy đóng nó ngay lập tức và mở lại phiên bản Chrome của chính nó có chứa mô-đun độc hại lấy cắp thông tin ngân hàng
Chremows (Chrome WebSocket) – Một trojan ngân hàng JavaScript ghi lại các lần nhấn phím và nhấp chuột trên Chrome với mục tiêu cướp thông tin đăng nhập từ người dùng Mercado Livre và Mercado Pago
Nói rằng các cuộc tấn công đang diễn ra, Avast nói rằng họ đã chia sẻ những phát hiện của mình với CERT Brazil để ngăn chặn sự lây lan của phần mềm độc hại. Điều đó nói rằng, các hiện vật liên quan đến Chaes tiếp tục vẫn còn trên một số trang web bị nhiễm.
Các nhà nghiên cứu kết luận: “Chaes khai thác nhiều trang web chứa CMS WordPress để phục vụ các trình cài đặt độc hại. “Các tiện ích mở rộng của Google Chrome có thể lấy cắp thông tin đăng nhập của người dùng được lưu trữ trong Chrome và thu thập thông tin ngân hàng của người dùng từ các trang web ngân hàng phổ biến.”
.
