最初的Chae$惡意軟件于2023年9月被發現,其最新版本被稱為Chae$ 4.1,采用高級代碼多態性來繞過防病毒檢測。最新的Chae$ 4.1在源代碼中向Morphisec的網絡安全研究人員發送直接消息。


Morphisec威脅實驗室已記錄其在Chae$ 4.1上的發現,Chae$ 4.1是Chae惡意軟件Infostealer系列的更新,作為其對新興網絡威脅調查的一部分。該報告探討了新的Chae$變體,強調了其機制、影響和保護措施。


早在2023年9月,Morphisec就分享了對Chae$惡意軟件新變種(稱為Chae$4)的分析。該惡意軟件針對電子商務客戶(尤其是巴西客戶)的登錄憑據、財務數據和其他敏感信息。


Chae$4正在迅速發展,Morphisec在其最新的研究博客中提供了Chae$ 4.1更新的詳細信息,其中包括改進的Chronod模塊,令人驚訝的是,在源代碼中向Morphisec團隊發送了直接消息。4.1版本比以前的暴力破解和基本混淆方法有了顯著改進。



感染鏈始于一封葡萄牙語電子郵件,聲稱是律師就法律案件發出的緊急請求。然后,受害者會被重定向到欺騙性網站 (totalavprotectionshop/abrirProcesso.php?email=),并提示他們下載ZIP文件。該網站還充當TotalAV的欺騙性網站,直接提供MSI安裝程序,無需ZIP文件的中間步驟。


另一個網站(webcamcheckonline)據稱會掃描機器是否存在風險,并在掃描后更新驅動程序。受害者單擊“阻止”按鈕后,JavaScript將在后臺執行,模仿合法的系統掃描,呈現硬編碼的文件列表,從而產生對設備進行全面計算機分析的假象。


掃描完成后,攻擊者會發送一條消息,指出“檢測到安全風險”,并提示受害者下載更新的驅動程序以消除風險。毫無戒心的受害者單擊該按鈕,這會觸發名為download.js的腳本來運行惡意安裝程序。


安裝程序激活后,Chae$ 4.1也會被觸發,從這一點開始,攻擊鏈遵循與Morphisec在之前的分析中發現的類似路徑,除了Chae$框架的一些改進,例如Chronod模塊的修改。成功激活后,泄露的數據將傳送到威脅參與者的C2和Chae$團隊面板登錄頁面。


Chronod模塊攔截用戶活動以竊取登錄憑據和銀行信息等信息。它包含2000多行代碼,并經過調整,可以從WhatsApp、AWS和WordPress等特定服務竊取憑證。在4.1版本中,Chae$團隊重寫了該模塊,使其更加通用和模塊化,將邏輯劃分為多個類,而不是一個負責所有功能的類。


Chae$ 4.1還采用高級代碼多態性來繞過防病毒檢測并檢測沙箱環境,引發人們對其對用戶潛在影響的擔憂。



為了確保安全,請定期更新操作系統和軟件,使用具有高級惡意軟件檢測功能的分層安全解決方案,在點擊可疑鏈接或打開附件時保持謹慎,并定期備份關鍵數據。及時了解情況并采用強大的安全實踐有助于防范網絡攻擊。

惡意軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接