Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Set 08, 2023 Marina Londei Attacchi, Malware, News, RSS 0
I ricercatori di Morphisec hanno individuato una nuova, pericolosa variante di Chaes, un malware attivo dal 2020 che aveva come obiettivi principali i clienti di siti di e-commerce dell’America Latina.
Caratterizzato da un processo di infezione a più stage, il malware ora è in grado di sottrarre dati personali e finanziari non più solo degli utenti degli e-commerce, ma anche dei clienti del settore finanziario e logistico.
La nuova variante del malware, identificata come la quarta versione, presenta numerosi miglioramenti: gli attaccanti dietro Chaes hanno ridefinito l’intera architettura migliorando la modularità del programma e riscrivendolo per lo più in Python per l’esecuzione dinamica in-memory.
I ricercatori hanno identificato sette diversi moduli che compongono il malware: oltre ai moduli per l’inizializzazione delle attività e la comunicazione con gli attaccanti, Chaes utilizza il modulo Chronod, incaricato di sottrarre le informazioni inviate dall’utente, siano esse di login o bancarie, e un modulo per l’upload dei file, in grado di cercare file sul dispositivo della vittima, raccoglierli e inviarli agli attaccanti.
La nuova versione di Chaes vanta inoltre numerosi tool e servizi per il furto di credenziali e l’uso di Websocket per la comunicazione tra i singoli moduli e il server C2 degli attaccanti.
Una delle novità più importanti della nuova varianti di Chaes è la capacità di accedere alle funzioni del browser e ai servizi target senza l’interazione utente. Ciò, spiegano i ricercatori, è possibile grazie a un’implementazione custom del protocollo DevTools di Chrome, in grado di analizzare e interagire con i contenuti delle pagine web.
“Invece di aspettare che sia l’utente ad aprire il servizio target, il modulo lo apre in autonomia e sottrae i dati sensibili” si legge nel report. Sfruttando il protocollo gli attaccanti sono in grado, tra le altre cose, di eseguire script, intercettare richieste di rete e leggere il contenuto delle richieste POST prima che vengano cifrati. Finora non era stato individuato alcun malware in grado di re-implementare il protocollo DevTools.
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 02, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 06, 2024 0
Dic 05, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...