Een financieel gemotiveerde malwarecampagne heeft meer dan 800 WordPress-websites gecompromitteerd om een banktrojan met de naam te leveren Chaes gericht op Braziliaanse klanten van Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre en Mercado Pago.
Eerst gedocumenteerd door Cybertijdperk in november 2020 wordt de info-stelende malware geleverd via een geavanceerde infectieketen die is ontworpen om gevoelige consumenteninformatie te verzamelen, inclusief inloggegevens, creditcardnummers en andere financiële informatie.
“Chaes wordt gekenmerkt door de levering in meerdere fasen die gebruikmaakt van scriptframeworks zoals JScript, Python en NodeJS, binaire bestanden die zijn geschreven in Delphi en kwaadaardige Google Chrome-extensies,” Avast-onderzoekers Anh Ho en Igor Morgenstern zei. “Het uiteindelijke doel van Chaes is het stelen van inloggegevens die zijn opgeslagen in Chrome en het onderscheppen van logins van populaire bankwebsites in Brazilië.”
De aanvalsreeks wordt geactiveerd wanneer gebruikers een van de geïnfecteerde websites bezoeken, waarna een pop-up wordt weergegeven waarin ze worden verzocht een valse Java Runtime-toepassing te installeren. Als de gebruiker de instructies opvolgt, start het frauduleuze installatieprogramma een complexe routine voor het afleveren van malware die uitmondt in de implementatie van verschillende modules.
Sommige tussenliggende payloads zijn niet alleen versleuteld, maar ook verborgen als uitgeschreven code op de HTML-pagina van een Blogger blogspot-domein (“awsvirtual[.]blogspot.com”). In de laatste fase downloadt en installeert een JavaScript-dropper maar liefst vijf Chrome-extensies —
- Online – Een Delphi-module die wordt gebruikt om vingerafdrukken te nemen van het slachtoffer en de systeeminformatie door te sturen naar een command-and-control (C2) server
- Mtps4 (MultiTela Pascal) – Een op Delphi gebaseerde achterdeur waarvan het hoofddoel is om verbinding te maken met de C2-server en te wachten op een reactie Pascal Script uitvoeren
- Chrolog (ChromeLog) – Een Google Chrome-wachtwoordsteler geschreven in Delphi
- Chronodx (Chrome Noder) – Een JavaScript-trojan die, bij het detecteren van de lancering van de Chrome-browser door het slachtoffer, deze onmiddellijk sluit en zijn eigen exemplaar van Chrome heropent dat een kwaadaardige module bevat die bankgegevens steelt
- Chremows (Chrome WebSocket) – Een JavaScript banking-trojan die toetsaanslagen en muisklikken op Chrome registreert met als doel de inloggegevens van gebruikers van Mercado Livre en Mercado Pago te plunderen
Avast zei dat de aanvallen aan de gang zijn en dat het zijn bevindingen heeft gedeeld met het Braziliaanse CERT om de verspreiding van de malware te verstoren. Dat gezegd hebbende, blijven Chaes-gerelateerde artefacten op sommige van de geïnfecteerde websites achter.
“Chaes exploiteert veel websites die CMS WordPress bevatten om kwaadwillende installatieprogramma’s te bedienen”, concludeerden de onderzoekers. “De Google Chrome-extensies kunnen de inloggegevens van gebruikers die zijn opgeslagen in Chrome stelen en bankgegevens van gebruikers verzamelen van populaire bankwebsites.”
