재정적으로 동기가 부여된 멀웨어 캠페인이 800개 이상의 WordPress 웹사이트를 손상시켜 뱅킹 트로이 목마라는 이름을 전달했습니다. 채스 Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre 및 Mercado Pago의 브라질 고객을 대상으로 합니다.
처음으로 문서화한 사람 사이버 레이슨 2020년 XNUMX월, 정보 탈취 멀웨어는 로그인 자격 증명, 신용 카드 번호 및 기타 금융 정보를 포함한 민감한 소비자 정보를 수집하도록 설계된 정교한 감염 체인을 통해 전달됩니다.
Avast 연구원인 Anh Ho와 Igor Morgenstern은 “Ches는 JScript, Python, NodeJS와 같은 스크립팅 프레임워크, Delphi로 작성된 바이너리, 악성 Google Chrome 확장을 활용하는 다단계 전달이 특징입니다. 말했다. "Chaes의 궁극적인 목표는 Chrome에 저장된 자격 증명을 훔치고 브라질의 유명 은행 웹사이트 로그인을 가로채는 것입니다."
공격 시퀀스는 사용자가 감염된 웹사이트 중 하나를 방문하면 팝업이 표시되어 가짜 Java Runtime 애플리케이션을 설치하도록 유도할 때 트리거됩니다. 사용자가 지침을 따를 경우 악성 설치 프로그램은 여러 모듈의 배포로 끝나는 복잡한 맬웨어 전달 루틴을 시작합니다.
일부 중간 페이로드는 암호화될 뿐만 아니라 Blogger blogspot 도메인("awsvirtual[.]blogspot.com")의 HTML 페이지 내부에 주석 처리된 코드로 숨겨져 있습니다. 마지막 단계에서 JavaScript 드로퍼는 최대 XNUMX개의 Chrome 확장 프로그램을 다운로드하여 설치합니다.
- 온라인 매장 – 피해자를 지문으로 인식하고 시스템 정보를 명령 및 제어(C2) 서버로 전송하는 데 사용되는 델파이 모듈
- Mtps4(멀티텔라 파스칼) – C2 서버에 접속하여 응답을 기다리는 것이 주 목적인 델파이 기반 백도어 파스칼 스크립트 실행하다
- 크로로그(ChromeLog) – 델파이로 작성된 구글 크롬 패스워드 스틸러
- Chronodx(크롬 노드) – 피해자가 Chrome 브라우저를 실행하는 것을 감지하면 즉시 닫고 은행 정보를 훔치는 악성 모듈이 포함된 자체 Chrome 인스턴스를 다시 여는 JavaScript 트로이 목마
- Chremows(크롬 웹소켓) – Mercado Livre 및 Mercado Pago 사용자의 로그인 자격 증명을 약탈할 목적으로 Chrome에서 키 누르기와 마우스 클릭을 기록하는 JavaScript 뱅킹 트로이 목마
Avast는 공격이 진행 중이라고 말하면서 악성 코드의 확산을 방해하기 위해 브라질 CERT와 결과를 공유했다고 말했습니다. 하지만 일부 감염된 웹사이트에는 Chaes 관련 유물이 계속 남아 있습니다.
"Ches는 CMS WordPress가 포함된 많은 웹사이트를 악용하여 악성 설치 프로그램을 제공합니다."라고 연구원들은 결론지었습니다. "구글 크롬 확장 프로그램은 크롬에 저장된 사용자 자격 증명을 도용하고 인기 있는 은행 웹사이트에서 사용자의 은행 정보를 수집할 수 있습니다."
