Segundo a Avast, graças a uma nova variante, agora o malware Chaes usa o protocolo DevTools para roubar dados usando WebSockets.
O malware Chaes retornou como uma variante nova e mais avançada que inclui uma implementação personalizada do protocolo Google DevTools para acesso direto às funções do navegador da vítima, permitindo roubar dados usando WebSockets.
Malware Chaes usa o protocolo DevTools para roubar dados
Sim. Agora o Malware Chaes usa o protocolo DevTools para roubar dados. Esse malware apareceu pela primeira vez em novembro de 2020, visando clientes de comércio eletrônico na América Latina.
Suas operações se expandiram significativamente no final de 2021, quando a Avast observou que estava usando 800 sites WordPress comprometidos para distribuir o malware.
Após a infecção, o Chaes instala extensões maliciosas no navegador Chrome da vítima para estabelecer persistência, captura capturas de tela, rouba senhas e cartões de crédito salvos, exfiltra cookies e intercepta credenciais bancárias online.
A nova versão do Chaes foi descoberta pela Morphisec em janeiro de 2023, visando principalmente plataformas como Mercado Libre, Mercado Pago, WhatsApp Web, Banco Itau, Caixa Bank, MetaMask e muitos serviços CMS como WordPress e Joomla.
A cadeia de infecção na última campanha permanece a mesma vista no passado, envolvendo instaladores MSI enganosos que desencadeiam uma infecção em várias etapas que usa sete módulos distintos que executam várias funções.
A mais nova variante do Chaes apresenta melhorias em todos os aspectos, tornando a funcionalidade do malware mais furtiva e eficaz.
Morphisec destaca as seguintes alterações na versão mais recente do Chaes:
- Arquitetura de código renovada.
- Múltiplas camadas de criptografia e técnicas furtivas aprimoradas.
- Mude para Python para descriptografia e execução na memória.
- Substituição do ‘Puppeteer’ para monitorar as atividades do navegador Chromium pelo Chrome DevTools.
- Expansão de serviços direcionados para roubo de credenciais.
- Uso de WebSockets para comunicação entre os módulos do malware e o servidor C2 em vez de HTTP.
- Implementação de DGA (algoritmo de geração de domínio) para resolução dinâmica de endereços de servidores C2.
Puppeteer é uma biblioteca Node.js que fornece API de alto nível para controlar o Chrome no modo headless (oculto dos usuários), que a Avast documentou no ano passado como parte de duas extensões que Chaes instalou em navegadores de dispositivos violados.
No entanto, um novo recurso que se destaca é o uso do protocolo Chrome DevTools por Chaes para roubar dados do navegador da web, incluindo a modificação de páginas da web em tempo real, execução de código JavaScript, depuração, gerenciamento de solicitações de rede, gerenciamento de memória, cookie e gerenciamento de cache e muito mais.
“Em vez de esperar que o serviço direcionado seja aberto pelo usuário, o módulo abre ativamente o site do serviço e rouba os dados relevantes – tudo feito aproveitando o protocolo DevTools do Google”, explica a Morphisec.
“Cada tarefa abre sua própria aba e expõe as funções relevantes no módulo que seriam executadas através do código JavaScript injetado.”
“Depois de configurar os dados e funções relevantes, o módulo navega para o URL de destino, o que cria um evento Page.loadEventFired que aciona a injeção de JavaScript no URL navegado.”
Chaes repete o mesmo processo automaticamente para todos os URLs dos quais o módulo ladrão está configurado para roubar dados.
A adoção das comunicações WebSockets é outra grande mudança no módulo ‘Chrautos’, responsável pelas comunicações C2 e pelo roubo de dados do WhatsApp Web por meio de injeções de JavaScript.
WebSockets oferece suporte a comunicações persistentes para troca de dados em tempo real e de baixa latência, pode transmitir texto e dados binários, não requer cache de solicitação ou proxy e geralmente é mais furtivo que o HTTP.
Morphisec relata que todas as mensagens trocadas entre o C2 e o cliente de malware são formatadas em JSON, codificadas em base64 e criptografadas em AES.
Chaes é o primeiro caso notável de malware com uma implementação personalizada do protocolo DevTools do Google Chrome para realizar operações maliciosas em sistemas infectados, o que sublinha a sua natureza agressiva.
A Morphisec afirma ter visto muitos sinais de que os módulos do malware estão em desenvolvimento ativo, portanto suas funções poderão em breve ser estendidas e aprimoradas.