En enero de 2023, Morphisec identificó una tendencia alarmante: numerosos clientes, principalmente en los sectores de logística y finanzas, estaban siendo atacados por una nueva y avanzada variante del malware Chaes. La sofisticación de la amenaza aumentó en varias iteraciones desde abril hasta junio de 2023.
Gracias a la tecnología de Defensa de Objetivo en Movimiento Automático (AMTD, por sus siglas en inglés) de vanguardia de Morphisec, muchos de estos ataques fueron frustrados antes de causar un daño significativo.
Pero esto no es solo una variante ordinaria de Chaes. Ha experimentado cambios importantes: desde ser reescrito por completo en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta una rediseño integral y un protocolo de comunicación mejorado. Además, ahora cuenta con una serie de nuevos módulos que amplían sus capacidades maliciosas.
Los objetivos de este malware no son aleatorios. Se enfoca específicamente en clientes de plataformas y bancos prominentes como Mercado Libre, Mercado Pago, WhatsApp Web, Banco Itau, Banco Caixa e incluso MetaMask. Además, docenas de servicios de Gestión de Contenido (CMS) tampoco han sido perdonados, incluyendo WordPress, Joomla, Drupal y Magento. Es importante señalar que el malware Chaes no es completamente nuevo en el panorama de la ciberseguridad. Su primera aparición se remonta a noviembre de 2020, cuando los investigadores de Cybereason destacaron sus operaciones dirigidas principalmente a clientes de comercio electrónico en América Latina.
La nueva variante de Chaes ha sido nombrada “Chae$ 4” (Chae$4) por Morphisec, ya que es la cuarta variante importante y debido a una impresión de depuración en un módulo central que dice “Chae$ 4”.
Historia y Descripción General de Chaes
En noviembre de 2020, Cybereason publicó su investigación inicial sobre el malware Chaes. El informe destacó que el malware había estado activo desde al menos mediados de 2020, dirigido principalmente a usuarios de MercadoLibre y se caracterizaba por su proceso de infección de múltiples etapas, su capacidad para robar datos sensibles y financieros relacionados con MercadoLibre, y su uso de múltiples lenguajes de programación y LOLbins.
Para enero de 2022, Avast publicó un estudio posterior que indicaba un aumento en la actividad de Chaes durante el cuarto trimestre de 2021. Avast profundizó en los diferentes componentes del malware, arrojando luz sobre sus últimas actualizaciones: una cadena de infección refinada, una comunicación mejorada con el C2, módulos recién integrados (que denominaron “extensiones”) y detalles granulares sobre cada etapa de infección y módulo.
Unas semanas después, en febrero de 2022, el grupo de investigación Tempest, SideChannel, reveló más información, presentando la adopción del malware de WMI para la recopilación de datos del sistema.
Avanzando a la Versión 4
Estas publicaciones de investigación mencionadas anteriormente abarcan las versiones 1-3 del malware Chaes. Esta última iteración de Chaes revela transformaciones y mejoras significativas, y Morphisec la etiqueta como la versión 4.
Los cambios significativos incluyen:
- Arquitectura de código refinada y mayor modularidad
- Capas adicionales de cifrado y capacidades de sigilo mejoradas
- Cambio predominante a Python, que se somete a desencriptación y ejecución dinámica en memoria
- Reemplazo de Puppeteer con un enfoque personalizado para monitorear e interceptar la actividad de los navegadores Chromium
- Un catálogo ampliado de servicios dirigidos para el robo de credenciales
- Adopción de WebSockets para la comunicación principal entre los módulos y el servidor C2
- Implementación de DGA para la resolución dinámica de la dirección del servidor C2
Dado el alcance y la profundidad de contenido en esta revisión, el análisis está estructurado para atender a una amplia gama de lectores, desde SOC y CISO hasta ingenieros de detección, investigadores y aficionados a la seguridad.
El análisis comienza con una descripción general de la cadena de infección, que permanece relativamente consistente, seguida de un resumen conciso de cada uno de los módulos del malware. Las secciones posteriores profundizarán en los detalles de cada etapa/módulo.
Dado que el malware utiliza mecanismos recurrentes en varias etapas/módulos, hemos designado una sección titulada “Componentes Adicionales”. Aquí, los lectores pueden encontrar detalles intrincados sobre cada mecanismo citado en todo el artículo.
Este enfoque estructurado garantiza que los lectores puedan obtener una visión general rápida del malware o sumergirse en sus componentes intrincados.
Componentes
La infección comienza ejecutando un instalador MSI malicioso, casi indetectable, que generalmente se hace pasar por un instalador de JAVA JDE o un instalador de software antivirus. La ejecución del instalador malicioso hará que el malware se despliegue y descargue sus archivos necesarios dentro de una carpeta dedicada y codificada en el %Appdata%/<nombre_del_protocolo> folder.
La carpeta contiene bibliotecas de Python, ejecutables de Python con diferentes nombres, archivos cifrados y scripts de Python que se utilizarán más adelante. Luego, el malware desempaqueta el módulo central, que llamamos ChaesCore, responsable de establecer la persistencia utilizando una Tarea Programada y migrar a procesos específicos. Después de la fase de inicialización, ChaesCore comienza su actividad maliciosa y se comunica con la dirección C2 para descargar y cargar los módulos externos en el sistema infectado.
A lo largo de esta investigación, se identificaron siete módulos diferentes que pueden actualizarse de manera independiente sin cambiar la funcionalidad central:
- Módulo Init: el primer módulo enviado por el atacante actúa como una identificación / registro de nueva víctima. Recopila una cantidad extensa de datos sobre el sistema infectado.
- Módulo Online: envía un mensaje ONLINE de regreso al atacante. Actúa como un módulo de baliza para monitorear cuáles de las víctimas todavía están activas.
- Módulo Chronod: un ladrón de credenciales y recortador. Este módulo se encarga de interceptar la actividad del navegador para robar información del usuario, como credenciales enviadas en el proceso de inicio de sesión, información bancaria al comunicarse con el sitio web del banco y tiene una función de recorte que intenta robar transferencias BTC, ETH y PIX.
- Módulo Appita: muy similar al módulo Chronod en estructura y propósito, pero parece dirigirse específicamente a la aplicación del banco Itau (itauaplicativo.exe).
- Módulo Chrautos: un módulo mejorado basado en los módulos Chronod y Appita. Ofrece una mejor arquitectura de código que tiene la capacidad de expandir fácilmente los objetivos y tareas realizadas por el módulo. La versión actual se enfoca en datos bancarios y de WhatsApp, pero aún está en desarrollo.
- Módulo Stealer: responsable de robar datos de navegadores basados en Chromium. Los datos robados incluyen datos de inicio de sesión, tarjetas de crédito, cookies y relleno automático.
- Módulo de carga de archivos: tiene la capacidad de buscar y cargar archivos desde el sistema infectado al servidor C2. En la versión actual, el módulo carga solo datos relacionados con la extensión Chrome de MetaMask.
La mayoría de los módulos ya estaban presentes en alguna forma en versiones anteriores, pero esta versión proporciona una reimplementación para aquellos con funcionalidades mejoradas, una base de código diferente y técnicas únicas para lograr sus objetivos.
Otra cosa a tener en cuenta es el gran interés del actor de amenazas en las criptomonedas, lo que se denota por el uso del recortador para robar BTC y ETH, y el módulo de carga de archivos que roba credenciales y archivos de MetaMask.
Análisis Técnico Completo de Chae$ 4
El informe adjunto profundiza en cada componente del framework. Comenzando desde el instalador MSI, avanzando hacia el componente principal, ChaesCore, y terminando con los siete módulos.
Finalmente, se explorarán los diferentes mecanismos utilizados por el autor del malware para la operación general del malware.