Le malware Chaes est de retour sous la forme d’une nouvelle variante plus avancée qui inclut une implémentation personnalisée du protocole Google DevTools pour un accès direct aux fonctions du navigateur de la victime, lui permettant de voler des données à l’aide de WebSockets.
Le malware est apparu pour la première fois en novembre 2020, ciblant les clients du commerce électronique en Amérique latine. Ses opérations se sont considérablement développées fin 2021 lorsqu’Avast l’a observé utilisant 800 sites WordPress compromis pour distribuer le malware.
Lors de l’infection, Chaes installe des extensions malveillantes dans le navigateur Chrome de la victime pour établir la persistance, capture des captures d’écran, vole les mots de passe et les cartes de crédit enregistrés, exfiltre les cookies et intercepte les informations d’identification bancaires en ligne.
La nouvelle version de Chaes a été repérée par Morphisec en janvier 2023, ciblant principalement des plateformes comme Mercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank, MetaMask et de nombreux services CMS comme WordPress et Joomla.
La chaîne d’infection de la dernière campagne reste la même que celle observée dans le passé, impliquant des installateurs MSI trompeurs qui déclenchent une infection en plusieurs étapes utilisant sept modules distincts remplissant diverses fonctions.
Chaes v4
La dernière variante de Chaes présente des améliorations globales, rendant les fonctionnalités du malware plus furtives et plus efficaces.
Morphisec met en évidence les changements suivants dans la dernière version de Chaes :
- Architecture de code remaniée.
- Plusieurs couches de cryptage et techniques de furtivité améliorées.
- Passez à Python pour le décryptage et l’exécution en mémoire.
- Remplacement de « Puppeteer » pour surveiller les activités du navigateur Chromium avec Chrome DevTools.
- Expansion des services ciblés pour le vol d’identifiants.
- Utilisation de WebSockets pour la communication entre les modules du malware et le serveur C2 au lieu de HTTP.
- Implémentation de DGA (algorithme de génération de domaine) pour la résolution dynamique d’adresses de serveurs C2.
Puppeteer est une bibliothèque Node.js fournissant une API de haut niveau pour contrôler Chrome en mode sans tête (caché aux utilisateurs), qu’Avast a documenté l’année dernière dans le cadre de deux extensions Chaes installées sur les navigateurs des appareils piratés.
Cependant, une nouvelle fonctionnalité qui se démarque est l’utilisation par Chaes du protocole Chrome DevTools pour voler des données du navigateur Web, notamment la modification en temps réel des pages Web, l’exécution de code JavaScript, le débogage, la gestion des requêtes réseau, la gestion de la mémoire, les cookies. et la gestion du cache, et plus encore.
« Au lieu d’attendre que le service ciblé soit ouvert par l’utilisateur, le module ouvre activement le site Web du service et vole les données pertinentes, tout cela en tirant parti du protocole DevTools de Google », explique Morphisec.
« Chaque tâche ouvre son propre onglet et expose les fonctions pertinentes du module qui seraient exécutées via le code JavaScript injecté. »
« Après avoir configuré les données et fonctions pertinentes, le module accède à l’URL ciblée, ce qui crée un événement Page.loadEventFired qui déclenche l’injection de JavaScript vers l’URL parcourue. »
Chaes répète automatiquement le même processus pour toutes les URL sur lesquelles le module Stealer est configuré pour voler des données.
L’adoption des communications WebSockets est un autre changement majeur dans le module « Chrautos », responsable des communications C2 et du vol de données de WhatsApp Web via des injections JavaScript.
WebSockets prend en charge les communications persistantes pour l’échange de données en temps réel à faible latence, peut transmettre à la fois du texte et des données binaires, ne nécessite pas de mise en cache ou de proxy des requêtes et est généralement plus furtif que HTTP.
Morphisec signale que tous les messages échangés entre le C2 et le client malveillant sont au format JSON, codés en base64 et chiffrés AES.
Chaes est le premier cas notable de malware présentant une implémentation personnalisée du protocole DevTools de Google Chrome pour effectuer des opérations malveillantes sur les systèmes infectés, ce qui souligne sa nature agressive.
Morphisec déclare avoir observé de nombreux signes indiquant que les modules du malware sont en cours de développement actif, de sorte que leurs fonctions pourraient bientôt être étendues et améliorées.