Chaes恶意软件的新Python变种以银行和物流业为目标

这篇具有很好参考价值的文章主要介绍了Chaes恶意软件的新Python变种以银行和物流业为目标。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Chaes恶意软件的新Python变种以银行和物流业为目标,python

银行和物流行业正遭受一种名为 "Chaes "恶意软件变种的攻击。

Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说:“Chaes”经历了重大的改版,从完全用 Python 重写,到整体重新设计和增强通信协议,导致传统防御系统的检测率降低。

据了解,Chaes 于 2020 年首次出现,主要针对拉丁美洲(尤其是巴西)的电子商务客户窃取敏感的财务信息。

Avast 在 2022 年初发现,自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站,向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。

2022 年 12 月,巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation(WMI),以方便收集系统元数据,如 BIOS、处理器、磁盘大小和内存信息。

该恶意软件的最新迭代版本被称为 Chae$ 4(参考源代码中的调试日志信息),其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。

尽管恶意软件架构发生了变化,但在 2023 年 1 月发现的攻击中,总体传输机制保持不变。

潜在受害者登陆其中一个被入侵的网站后,会弹出一个消息,要求他们下载 Java Runtime 或防病毒解决方案的安装程序,从而触发恶意 MSI 文件的部署,该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。

该组件负责建立与命令控制(C2)服务器的通信渠道,从中获取支持入侵后活动和数据盗窃的其他模块 。

  • 初始化,收集系统的大量信息
  • 在线,作为信标向攻击者回传信息,表明恶意软件正在机器上运行
  • Chronod 会窃取在网页浏览器中输入的登录凭证,并拦截 BTC、ETH 和 PIX 支付转账
  • Appita 模块,具有与 Chronod 类似的功能,但专门针对 Itaú Unibanco 的桌面应用程序("itauaplicativo.exe")。
  • Chrautos 是 Chronod 和 Appita 的升级版本,主要从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据。
  • 窃取程序,Chrolog 的改进版,可窃取信用卡数据、cookie、自动填充和其他存储在网络浏览器中的信息。
  • 文件上传器,用于上传与 MetaMask 的 Chrome 扩展相关的数据。

主机上的持久性是通过计划任务完成的,而 C2 通信则需要使用 WebSockets,植入程序会无限循环运行,等待远程服务器的进一步指令。

通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标,凸显了攻击者的攻击嗅觉。

Morphisec 进一步解释说:Chronod 模块引入了框架中使用的另一个组件,一个名为 "模块打包器 "的组件。这个组件为模块提供了自己的持久性和迁移机制,其工作原理与ChaesCore的机制非常相似。

这种方法包括更改与网页浏览器(如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器)相关的所有快捷方式文件(LNK),以执行 Chronod 模块,而不是实际的浏览器。

该公司表示:恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。

该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。文章来源地址https://www.toymoban.com/news/detail-708341.html

到了这里,关于Chaes恶意软件的新Python变种以银行和物流业为目标的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2024年01月23日
    浏览(41)
  • LMD-恶意软件检测工具

    LMD是Linux恶意软件扫描器,以GNU GLPv2许可发布。 官方地址:https://www.rfxn.com 下载软件包命令: wget https://www.rfxn.com/downloads/maldetect-current.tar.gz tar命令解包后进入其目录。 安装命令如下: ./install.sh 扫描命令如下: maldet --scan-all  /etc

    2024年02月10日
    浏览(46)
  • 7种常见的恶意软件类型

    在当今的数字时代,恶意软件攻击威胁持续增加。企业和消费者很难定期保护自己免受这些安全威胁。虽然恶意软件这个术语通常用于描述可以渗透和破坏计算机系统的各种恶意软件程序,但有许多类型可以对系统造成更大的破坏。 恶意软件可以在未经授权的情况下访问系统

    2024年02月03日
    浏览(60)
  • 【网安播报】GitHub上的恶意Visual Studio 项目推送 Keyzetsu 恶意软件

    1、GitHub 上的恶意 Visual Studio 项目推送 Keyzetsu 恶意软件 威胁行为者正在滥用 GitHub 自动化功能和恶意 Visual Studio 项目来推送“Keyzetsu”恶意软件的新变种并窃取加密货币付款。攻击者创建了GitHub 存储库,并使用各种方法来人为地提高其在平台上的受欢迎程度和知名度,从而在

    2024年04月13日
    浏览(40)
  • 新恶意软件使用 MSIX 软件包来感染 Windows

    人们发现,一种新的网络攻击活动正在使用 MSIX(一种 Windows 应用程序打包格式)来感染 Windows PC,并通过将隐秘的恶意软件加载程序放入受害者的 PC 中来逃避检测。 Elastic Security Labs 的研究人员发现,开发人员通常使用 MSIX 来打包、分发和安装其应用程序给 Windows 用户,并且

    2024年02月07日
    浏览(58)
  • 网络防御 --- 恶意软件与反病毒详解

    恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误)。恶意软件存在各种各样的类型,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件

    2024年01月25日
    浏览(37)
  • 【安全与风险】恶意软件:概念、攻击和检测

    Malware一词是恶意软件的缩写。 恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。 恶意软件通常是由黑客团队创建的: 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。 然而,创建恶意软件也可能有其他原因——

    2024年02月16日
    浏览(41)
  • 机器学习和深度学习检测网络安全课题:DDOS检测、恶意软件、恶意流量检测课题资料

    开源的DDOS检测工具 https://github.com/equalitie/learn2ban 基于KDDCUP 99数据集预测DDoS攻击 基于谱分析与统计机器学习的DDoS攻击检测技术研究 基于机器学习的分布式拒绝服务攻击检测方法研究 DDoS Attacks Using Hidden Markov Models and Cooperative ReinforcementLearning* 恶意软件检测 https://github.com/dc

    2024年01月18日
    浏览(47)
  • 新型恶意软件DecoyDog正大规模入侵DNS

    安全厂商 Infoblox 的调查研究显示,一个名为 DecoyDog(诱饵狗)的复杂恶意工具包通过域名系统(DNS),从事网络间谍活动已达1年以上。 目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操

    2024年02月15日
    浏览(39)
  • 恶意软件如何被用来创建虚假的过期证书警报

    2021 年 9 月,数字安全专家发现了针对 Windows 用户的广泛攻击。 该攻击使用恶意软件在网站上发出虚假的过期证书警报,提示用户下载更新,而更新实际上包含允许黑客远程访问受感染计算机的恶意软件。 以下是攻击的执行方式、我们目前对其影响的了解以及如何保护您的组

    2024年02月05日
    浏览(73)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包