Aggiornamenti recenti Agosto 13th, 2025 11:24 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
Il malware Chaes sfrutta DevTools di Chrome per sottrarre dati sensibili
I ricercatori di Morphisec hanno individuato una nuova, pericolosa variante di Chaes, un malware attivo dal 2020 che aveva come obiettivi principali i clienti di siti di e-commerce dell’America Latina.
Caratterizzato da un processo di infezione a più stage, il malware ora è in grado di sottrarre dati personali e finanziari non più solo degli utenti degli e-commerce, ma anche dei clienti del settore finanziario e logistico.
Credits: maxkabakov- Depositphotos
La nuova variante del malware, identificata come la quarta versione, presenta numerosi miglioramenti: gli attaccanti dietro Chaes hanno ridefinito l’intera architettura migliorando la modularità del programma e riscrivendolo per lo più in Python per l’esecuzione dinamica in-memory.
I ricercatori hanno identificato sette diversi moduli che compongono il malware: oltre ai moduli per l’inizializzazione delle attività e la comunicazione con gli attaccanti, Chaes utilizza il modulo Chronod, incaricato di sottrarre le informazioni inviate dall’utente, siano esse di login o bancarie, e un modulo per l’upload dei file, in grado di cercare file sul dispositivo della vittima, raccoglierli e inviarli agli attaccanti.
La nuova versione di Chaes vanta inoltre numerosi tool e servizi per il furto di credenziali e l’uso di Websocket per la comunicazione tra i singoli moduli e il server C2 degli attaccanti.
Pexels
Una delle novità più importanti della nuova varianti di Chaes è la capacità di accedere alle funzioni del browser e ai servizi target senza l’interazione utente. Ciò, spiegano i ricercatori, è possibile grazie a un’implementazione custom del protocollo DevTools di Chrome, in grado di analizzare e interagire con i contenuti delle pagine web.
“Invece di aspettare che sia l’utente ad aprire il servizio target, il modulo lo apre in autonomia e sottrae i dati sensibili” si legge nel report. Sfruttando il protocollo gli attaccanti sono in grado, tra le altre cose, di eseguire script, intercettare richieste di rete e leggere il contenuto delle richieste POST prima che vengano cifrati. Finora non era stato individuato alcun malware in grado di re-implementare il protocollo DevTools.
Condividi l'articolo
Andariel ha sviluppato nuovi malware per colpire le organizzazioni sud-coreane
Scoperto un kit di phishing in grado di superare l'autenticazione MFA degli account Microsoft 365
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi...
Ransomware: la serie
No posts found.