Una campaña de malware con motivación financiera ha comprometido más de 800 sitios web de WordPress para entregar un troyano bancario denominado Chaes dirigido a clientes brasileños de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.
Documentado por primera vez por Cibertemporada en noviembre de 2020, el malware de robo de información se entrega a través de una cadena de infección sofisticada que está diseñada para recopilar información confidencial del consumidor, incluidas las credenciales de inicio de sesión, números de tarjetas de crédito y otra información financiera.
«Chaes se caracteriza por la entrega en múltiples etapas que utiliza marcos de secuencias de comandos como JScript, Python y NodeJS, binarios escritos en Delphi y extensiones maliciosas de Google Chrome», los investigadores de Avast Anh Ho e Igor Morgenstern. dicho. «El objetivo final de Chaes es robar las credenciales almacenadas en Chrome e interceptar los inicios de sesión de sitios web bancarios populares en Brasil».
La secuencia de ataque se activa cuando los usuarios visitan uno de los sitios web infectados, en el que se muestra una ventana emergente, instándolos a instalar una aplicación Java Runtime falsa. Si el usuario sigue las instrucciones, el instalador no autorizado inicia una compleja rutina de entrega de malware que culmina con la implementación de varios módulos.
Algunas de las cargas intermedias no solo están encriptadas, sino que también están ocultas como código comentado dentro de la página HTML de un dominio de blogspot de Blogger («awsvirtual[.]blogspot.com»). En la etapa final, un cuentagotas de JavaScript descarga e instala hasta cinco extensiones de Chrome:
- En línea – Un módulo Delphi utilizado para tomar las huellas digitales de la víctima y transmitir la información del sistema a un servidor de comando y control (C2)
- Mtps4 (MultiTela Pascal) – Una puerta trasera basada en Delphi cuyo objetivo principal es conectarse al servidor C2 y esperar a que responda escritura pascual ejecutar
- Crolog (ChromeLog) – Un ladrón de contraseñas de Google Chrome escrito en Delphi
- Chronodx (Chrome Noder) – Un troyano de JavaScript que, al detectar el lanzamiento del navegador Chrome por parte de la víctima, lo cierra inmediatamente y vuelve a abrir su propia instancia de Chrome que contiene un módulo malicioso que roba información bancaria.
- Chremows (Chrome WebSocket) – Un troyano bancario de JavaScript que registra las pulsaciones de teclas y los clics del mouse en Chrome con el objetivo de saquear las credenciales de inicio de sesión de los usuarios de Mercado Livre y Mercado Pago.
Al afirmar que los ataques continúan, Avast dijo que había compartido sus hallazgos con el CERT brasileño para interrumpir la propagación del malware. Dicho esto, los artefactos relacionados con Chaes siguen permaneciendo en algunos de los sitios web infectados.
«Chaes explota muchos sitios web que contienen CMS WordPress para servir a instaladores maliciosos», concluyeron los investigadores. «Las extensiones de Google Chrome pueden robar las credenciales de los usuarios almacenadas en Chrome y recopilar la información bancaria de los usuarios de sitios web bancarios populares».
