Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Il malware Chaes sfrutta DevTools di Chrome per sottrarre dati sensibili
I ricercatori di Morphisec hanno individuato una nuova, pericolosa variante di Chaes, un malware attivo dal 2020 che aveva come obiettivi principali i clienti di siti di e-commerce dell’America Latina.
Caratterizzato da un processo di infezione a più stage, il malware ora è in grado di sottrarre dati personali e finanziari non più solo degli utenti degli e-commerce, ma anche dei clienti del settore finanziario e logistico.
Credits: maxkabakov- Depositphotos
La nuova variante del malware, identificata come la quarta versione, presenta numerosi miglioramenti: gli attaccanti dietro Chaes hanno ridefinito l’intera architettura migliorando la modularità del programma e riscrivendolo per lo più in Python per l’esecuzione dinamica in-memory.
I ricercatori hanno identificato sette diversi moduli che compongono il malware: oltre ai moduli per l’inizializzazione delle attività e la comunicazione con gli attaccanti, Chaes utilizza il modulo Chronod, incaricato di sottrarre le informazioni inviate dall’utente, siano esse di login o bancarie, e un modulo per l’upload dei file, in grado di cercare file sul dispositivo della vittima, raccoglierli e inviarli agli attaccanti.
La nuova versione di Chaes vanta inoltre numerosi tool e servizi per il furto di credenziali e l’uso di Websocket per la comunicazione tra i singoli moduli e il server C2 degli attaccanti.
Pexels
Una delle novità più importanti della nuova varianti di Chaes è la capacità di accedere alle funzioni del browser e ai servizi target senza l’interazione utente. Ciò, spiegano i ricercatori, è possibile grazie a un’implementazione custom del protocollo DevTools di Chrome, in grado di analizzare e interagire con i contenuti delle pagine web.
“Invece di aspettare che sia l’utente ad aprire il servizio target, il modulo lo apre in autonomia e sottrae i dati sensibili” si legge nel report. Sfruttando il protocollo gli attaccanti sono in grado, tra le altre cose, di eseguire script, intercettare richieste di rete e leggere il contenuto delle richieste POST prima che vengano cifrati. Finora non era stato individuato alcun malware in grado di re-implementare il protocollo DevTools.
Condividi l'articolo
Andariel ha sviluppato nuovi malware per colpire le organizzazioni sud-coreane
Scoperto un kit di phishing in grado di superare l'autenticazione MFA degli account Microsoft 365
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
