Do not speak Portuguese? Translate this site with Google or Bing Translator

Trojan bancário Chaes sequestra o Chrome com extensões maliciosas

Confira os detalhes da descoberta de uma campanha em larga escala em que o Trojan bancário Chaes sequestra o Chrome com extensões maliciosas.

Uma campanha em larga escala envolvendo mais de 800 sites WordPress comprometidos está espalhando trojans bancários que visam as credenciais de usuários brasileiros de e-banking.

Trojan bancário Chaes sequestra o Chrome com extensões maliciosas

Trojan bancário Chaes sequestra o Chrome com extensões maliciosas
Trojan bancário Chaes sequestra o Chrome com extensões maliciosas

O trojan usado nesta campanha é chamado de ‘Chaes’ e, de acordo com pesquisadores da Avast, está se espalhando ativamente desde o final de 2021.

Embora a empresa de segurança tenha notificado o CERT brasileiro, a campanha está em andamento, com centenas de sites ainda comprometidos com scripts maliciosos que empurram o malware.

Quando a vítima visita um dos sites comprometidos, ela recebe um pop-up que solicita a instalação de um aplicativo Java Runtime falso.

Trojan bancário Chaes sequestra o Chrome com extensões maliciosas
Aviso incitando o usuário a baixar Java Fonte: Avast

O instalador MSI contém três arquivos JavaScript maliciosos (install.js, sched.js, sucesso.js) que preparam o ambiente Python para o próximo carregador de estágio.

O script sched.js adiciona persistência criando uma tarefa agendada e um link de inicialização, e o sucesso.js é responsável por relatar o status ao C2.

Enquanto isso, o script install.js executa as seguintes tarefas:

  • Verifica a conexão com a Internet (usando google.com)
  • Cria a pasta %APPDATA%\\\\extensions
  • Baixa arquivos protegidos por senha, como python32.rar/python64.rar e unrar.exe para essa pasta de extensões
  • Grava o caminho da pasta de extensões recém-criada em HKEY_CURRENT_USER\\Software\\Python\\Config\\Path
  • Executa alguns perfis básicos do sistema
  • Executa o comando unrar.exe com a senha especificada como argumento para descompactar python32.rar/python64.rar
  • Conecta-se ao C2 e baixe scripts __init__.py de 32 bits e 64 bits junto com duas cargas criptografadas. Cada carga tem um nome pseudo-aleatório.

Trojan bancário Chaes sequestra o Chrome com extensões maliciosas
Trojan bancário Chaes sequestra o Chrome com extensões maliciosas (A cadeia de infecção Chaes) Fonte: Avast

A cadeia do carregador do Python se desdobra na memória e envolve o carregamento de vários scripts, shellcode e DLLs Delphi até que tudo esteja pronto para executar a carga útil final dentro de um processo Python.

A etapa final é realizada pelo Instructions.js, que busca as extensões do Chrome e as instala no sistema da vítima. Finalmente, todas as extensões são iniciadas com os argumentos apropriados.

A Avast diz que viu cinco extensões maliciosas do navegador Chrome instaladas nos dispositivos das vítimas, incluindo:

  • Online – Imprime as impressões digitais da vítima e escreve uma chave de registro.
  • Mtps4 – Conecta-se ao C2 e aguarda PascalScripts de entrada. Também é capaz de capturar uma captura de tela e exibi-la em tela cheia para ocultar tarefas maliciosas em execução em segundo plano.
  • Chrolog – Rouba senhas do Google Chrome, exfiltrando o banco de dados para o C2 através de HTTP.
  • Chronodx – Um carregador e trojan bancário JS que é executado silenciosamente em segundo plano e aguarda a inicialização do Chrome. Se o navegador for aberto, ele o fechará imediatamente e reabrirá sua própria instância do Chrome, que possibilita a coleta de informações bancárias.
  • Chremows – Tem como alvo as credenciais do mercado online do Mercado Livre.

Fechando e reiniciando o Chrome
Trojan bancário Chaes sequestra o Chrome com extensões maliciosas

Neste momento, a campanha do Chaes ainda está em andamento, e aqueles que foram comprometidos permanecerão em risco, mesmo que os sites sejam limpos.

A Avast afirma que alguns dos sites comprometidos abusados ​​para descartar as cargas úteis são muito populares no Brasil, então o número de sistemas infectados provavelmente é grande.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.