Confira os detalhes da descoberta de uma campanha em larga escala em que o Trojan bancário Chaes sequestra o Chrome com extensões maliciosas.
Uma campanha em larga escala envolvendo mais de 800 sites WordPress comprometidos está espalhando trojans bancários que visam as credenciais de usuários brasileiros de e-banking.
Trojan bancário Chaes sequestra o Chrome com extensões maliciosas
O trojan usado nesta campanha é chamado de ‘Chaes’ e, de acordo com pesquisadores da Avast, está se espalhando ativamente desde o final de 2021.
Embora a empresa de segurança tenha notificado o CERT brasileiro, a campanha está em andamento, com centenas de sites ainda comprometidos com scripts maliciosos que empurram o malware.
Quando a vítima visita um dos sites comprometidos, ela recebe um pop-up que solicita a instalação de um aplicativo Java Runtime falso.
O instalador MSI contém três arquivos JavaScript maliciosos (install.js, sched.js, sucesso.js) que preparam o ambiente Python para o próximo carregador de estágio.
O script sched.js adiciona persistência criando uma tarefa agendada e um link de inicialização, e o sucesso.js é responsável por relatar o status ao C2.
Enquanto isso, o script install.js executa as seguintes tarefas:
- Verifica a conexão com a Internet (usando google.com)
- Cria a pasta %APPDATA%\\\\extensions
- Baixa arquivos protegidos por senha, como python32.rar/python64.rar e unrar.exe para essa pasta de extensões
- Grava o caminho da pasta de extensões recém-criada em HKEY_CURRENT_USER\\Software\\Python\\Config\\Path
- Executa alguns perfis básicos do sistema
- Executa o comando unrar.exe com a senha especificada como argumento para descompactar python32.rar/python64.rar
- Conecta-se ao C2 e baixe scripts __init__.py de 32 bits e 64 bits junto com duas cargas criptografadas. Cada carga tem um nome pseudo-aleatório.
A cadeia do carregador do Python se desdobra na memória e envolve o carregamento de vários scripts, shellcode e DLLs Delphi até que tudo esteja pronto para executar a carga útil final dentro de um processo Python.
A etapa final é realizada pelo Instructions.js, que busca as extensões do Chrome e as instala no sistema da vítima. Finalmente, todas as extensões são iniciadas com os argumentos apropriados.
A Avast diz que viu cinco extensões maliciosas do navegador Chrome instaladas nos dispositivos das vítimas, incluindo:
- Online – Imprime as impressões digitais da vítima e escreve uma chave de registro.
- Mtps4 – Conecta-se ao C2 e aguarda PascalScripts de entrada. Também é capaz de capturar uma captura de tela e exibi-la em tela cheia para ocultar tarefas maliciosas em execução em segundo plano.
- Chrolog – Rouba senhas do Google Chrome, exfiltrando o banco de dados para o C2 através de HTTP.
- Chronodx – Um carregador e trojan bancário JS que é executado silenciosamente em segundo plano e aguarda a inicialização do Chrome. Se o navegador for aberto, ele o fechará imediatamente e reabrirá sua própria instância do Chrome, que possibilita a coleta de informações bancárias.
- Chremows – Tem como alvo as credenciais do mercado online do Mercado Livre.
Neste momento, a campanha do Chaes ainda está em andamento, e aqueles que foram comprometidos permanecerão em risco, mesmo que os sites sejam limpos.
A Avast afirma que alguns dos sites comprometidos abusados para descartar as cargas úteis são muito populares no Brasil, então o número de sistemas infectados provavelmente é grande.