Varian Baru Malware Chaes

September, 12 2023 16:18
Internet
Varian Baru Malware Chaes

Malware Chaes pertama kali muncul pada November 2020, menargetkan klien e-commerce. Operasinya berkembang secara signifikan pada akhir tahun 2021 ketika mereka menggunakan 800 situs WordPress yang disusupi untuk mendistribusikan malware.

Setelah terinfeksi, Chaes memasang ekstensi berbahaya di browser Chrome korban untuk membangun persistensi yang bertujuan:

  • Mengambil tangkapan layar.

  • Mencuri kata sandi dan kartu kredit yang disimpan.

  • Mengekstraksi cookie.

  • Menyadap kredensial perbankan online.

Dengan mampu menyadap dan mengeksfiltrasi seluruh data penting dari perangkat korban, malware Chaes memiliki banyak pilihan dalam serangan berikutnya.

Baca juga: Ajari Anak Privasi Instagram

Varian Baru Malware Chaes

Pada Januari 2023 versi Chaes baru ditemukan, menargetkan platform seperti ercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank, MetaMask, dan banyak layanan CMS seperti WordPress dan Joomla.

Chaes telah kembali sebagai varian baru yang lebih canggih yang mencakup implementasi khusus protokol Google DevTools untuk akses langsung ke fungsi browser korban, sehingga memungkinkannya mencuri data menggunakan WebSockets.

Rantai infeksi dalam kampanye terbaru ini tetap sama seperti yang terlihat di masa lalu, melibatkan penginstal MSI yang menipu dan memicu infeksi multi-langkah yang menggunakan tujuh modul berbeda yang menjalankan berbagai fungsi.

Perubahan Malware Chaes

Varian Chaes terbaru menghadirkan peningkatan secara menyeluruh, menjadikan fungsi malware lebih tersembunyi dan efektif.

Morphisec menyoroti perubahan berikut dalam rilis terbaru Chaes:

  1. Arsitektur kode yang diperbarui.

  2. Enkripsi berlapis-lapis dan teknik siluman yang ditingkatkan.

  3. Beralih ke Python untuk dekripsi dan eksekusi dalam memori.

  4. Penggantian ‘Dalang’ untuk memantau aktivitas browser Chromium dengan Chrome DevTools.

  5. Perluasan layanan yang ditargetkan untuk pencurian kredensial.

  6. Penggunaan WebSockets untuk komunikasi antara modul malware dan server C2, bukan HTTP.

  7. Implementasi DGA (algoritma pembuatan domain) untuk resolusi alamat server C2 dinamis.

Puppeteer adalah library Node.js yang menyediakan API tingkat tinggi untuk mengontrol Chrome dalam headless mode (tersembunyi dari pengguna), yang didokumentasikan tahun lalu sebagai bagian dari dua ekstensi yang dipasang Chaes di browser perangkat yang dibobol.

Baca juga: Cek Nomor Telepon Penipu Saat Belanja Online

Fitur Menonjol

Namun, fitur baru yang menonjol adalah penggunaan Chrome DevTools Protocol oleh Chaes untuk mencuri data dari browser web, termasuk modifikasi halaman web secara real-time, eksekusi kode JavaScript, debugging, manajemen permintaan jaringan, manajemen memori, cookie dan manajemen cache, dan banyak lagi.

Daripada menunggu layanan yang ditargetkan dibuka oleh pengguna, modul tersebut secara aktif membuka situs web layanan dan mencuri data yang relevan, semua dilakukan dengan memanfaatkan Protokol DevTools Google.

Setiap tugas membuka tabnya sendiri dan menampilkan fungsi relevan dalam modul yang akan dijalankan melalui kode JavaScript yang dimasukkan.

Setelah menyiapkan data dan fungsi yang relevan, modul menavigasi ke URL yang ditargetkan, yang menciptakan peristiwa Page.loadEventFired yang memicu injeksi JavaScript ke URL yang dinavigasi.

Chaes mengulangi proses yang sama secara otomatis untuk semua URL yang dikonfigurasi modul pencuri untuk mencuri data.

Modul Chrautos

Penerapan komunikasi WebSockets adalah perubahan besar lainnya dalam modul ‘Chrautos’, yang bertanggung jawab atas komunikasi C2 dan mencuri data dari WhatsApp Web melalui suntikan JavaScript.

WebSockets mendukung komunikasi persisten untuk pertukaran data real-time dan berlatensi rendah, dapat mengirimkan data teks dan biner, tidak memerlukan permintaan cache atau proksi, dan umumnya lebih tersembunyi daripada HTTP.

Morphisec melaporkan bahwa semua pesan yang dipertukarkan antara C2 dan klien malware berformat JSON, dikodekan base64, dan dienkripsi AES.

Chaes adalah kasus malware pertama yang menampilkan penerapan khusus protokol DevTools Google Chrome untuk melakukan operasi jahat pada sistem yang terinfeksi, yang menegaskan sifat agresifnya.

Morphisec menyatakan telah melihat banyak tanda bahwa modul malware sedang dalam pengembangan aktif, sehingga fungsinya mungkin akan segera diperluas dan ditingkatkan.

 

 

Baca artikel lainnya:

 

 

Sumber berita:

 

Varian Baru Malware Chaes

 

 

 

chaes eksploitasi chromeDigitalmaniaeksploitasi ekstensi chromeinternetmalware chaesvarian baru chaesvarian baru malware chaes

Related Posts

May, 07 2024 12:46 Malware Zero Click Pencuri Data Clouds
May, 06 2024 11:55 Lima Tren Serangan Perusahaan
April, 29 2024 11:49 Pengaruh Iklan Internet Terhadap Perilaku Anak
March, 27 2024 11:18 Aplikasi Palsu Penguras Dompet
May, 08 2024 15:54 Social Engineering, Phising dan Psikologi
April, 05 2024 11:36 Malware Disembunyikan Dalam Gambar
April, 26 2024 16:48 Klasifikasi Jenis Ancaman Uang Digital
April, 02 2024 11:40 Darcula Memakan Korban 100 Negara
April, 01 2024 11:34 Anak Aman Berinternet dengan Komunikasi
April, 25 2024 11:44 Penipuan Peniruan Identitas
April, 03 2024 11:04 Insiden Siber Paling Mematikan Di Dunia
April, 04 2024 10:57 Serangan SMS di Android
April, 15 2024 14:37 Mitigasi Serangan Phising
April, 16 2024 11:26 Perlukah Menggunakan Kata Sandi
March, 28 2024 11:17 Manipulasi Digital Document Publishing
May, 03 2024 16:58 Mitigasi Spionase Perusahaan
April, 22 2024 11:48 Tren Ancaman Keamanan Teknologi Informasi
April, 17 2024 13:48 Kenapa Penjahat Siber Menargetkan Informasi Pribad...
April, 24 2024 10:35 Penipuan Pinjaman Online
May, 02 2024 11:39 Teknik Phising Paling Berbahaya