Aggiornamenti recenti Settembre 20th, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Earth Lusca torna all’attacco con una nuova backdoor
- Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
- Il cybercrimine organizza competizioni per sviluppare nuovi metodi d’attacco
- Nasce HWG Sababa, il polo per guidare imprese e istituzioni nelle sfide di sicurezza
- Scoperte tre vulnerabilità di command injection in Kubernetes
Il malware Chaes sfrutta DevTools di Chrome per sottrarre dati sensibili
I ricercatori di Morphisec hanno individuato una nuova, pericolosa variante di Chaes, un malware attivo dal 2020 che aveva come obiettivi principali i clienti di siti di e-commerce dell’America Latina.
Caratterizzato da un processo di infezione a più stage, il malware ora è in grado di sottrarre dati personali e finanziari non più solo degli utenti degli e-commerce, ma anche dei clienti del settore finanziario e logistico.
Credits: maxkabakov- Depositphotos
La nuova variante del malware, identificata come la quarta versione, presenta numerosi miglioramenti: gli attaccanti dietro Chaes hanno ridefinito l’intera architettura migliorando la modularità del programma e riscrivendolo per lo più in Python per l’esecuzione dinamica in-memory.
I ricercatori hanno identificato sette diversi moduli che compongono il malware: oltre ai moduli per l’inizializzazione delle attività e la comunicazione con gli attaccanti, Chaes utilizza il modulo Chronod, incaricato di sottrarre le informazioni inviate dall’utente, siano esse di login o bancarie, e un modulo per l’upload dei file, in grado di cercare file sul dispositivo della vittima, raccoglierli e inviarli agli attaccanti.
La nuova versione di Chaes vanta inoltre numerosi tool e servizi per il furto di credenziali e l’uso di Websocket per la comunicazione tra i singoli moduli e il server C2 degli attaccanti.
Pexels
Una delle novità più importanti della nuova varianti di Chaes è la capacità di accedere alle funzioni del browser e ai servizi target senza l’interazione utente. Ciò, spiegano i ricercatori, è possibile grazie a un’implementazione custom del protocollo DevTools di Chrome, in grado di analizzare e interagire con i contenuti delle pagine web.
“Invece di aspettare che sia l’utente ad aprire il servizio target, il modulo lo apre in autonomia e sottrae i dati sensibili” si legge nel report. Sfruttando il protocollo gli attaccanti sono in grado, tra le altre cose, di eseguire script, intercettare richieste di rete e leggere il contenuto delle richieste POST prima che vengano cifrati. Finora non era stato individuato alcun malware in grado di re-implementare il protocollo DevTools.
Condividi l'articolo
Andariel ha sviluppato nuovi malware per colpire le organizzazioni sud-coreane
Scoperto un kit di phishing in grado di superare l'autenticazione MFA degli account Microsoft 365
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per... -
Le PMI italiane nel mirino dei ransomware Il fenomeno dei ransomware non si arresta e, anzi, continua... -
L’Italia è il quinto paese al mondo per furto di... Il furto di account rimane uno dei principali problemi di...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Earth Lusca torna all’attacco con una nuova backdoor Earth Lusca è ancora in attività: il gruppo... -
Microsoft: una “gaffe” di sicurezza ha esposto... I ricercatori di Wiz, compagnia di sicurezza per il... -
Nasce HWG Sababa, il polo per guidare imprese e istituzioni... HWG, azienda di servizi gestiti e consulenza cyber, e... -
Scoperte tre vulnerabilità di command injection in... I ricercatori di Akamai hanno individuato tre... -
Trovate due nuove vulnerabilità critiche nei prodotti SAP In occasione del Security Patch Day di settembre, SAP ha...
Ransomware: la serie
No posts found.
