Il malware Chaes, già attico nel 2021, è tornato a turbare i sonni degli esperti di sicurezza. La versione attiva oggi, però, è molto più avanzata rispetto a quella originaria.
L’agente malevolo, infatti, va a modificare il protocollo DevTools di Google Chrome, che sfrutta per ottenere l’accesso diretto alle funzioni del browser della vittima.
Nella sua precedente campagna, il malware aveva colpito circa 800 siti WordPress nel contesto degli e-commerce in America Latina. Ad oggi, però, il raggio d’azione di Chaes sembra essersi ampliato, costituendo un pericolo anche per altre aree del mondo.
Il malware, dopo l’infezione, tende ad installare estensioni dannose per Chrome. Una volta garantita la persistenza sul computer della vittima, Chaes agisce acquisendo screenshot, rubando password e dati sulle carte di credito oltre ad altre azioni invasive come l’esfiltrazione dei cookie.
DevTools di Google Chrome e non solo: Chaes si aggiorna per rendersi più furtivo ed efficace
La nuova versione di Chaes è stata individuata da Morphisec nel gennaio 2023, e sembra concentrarsi su piattaforme come Mercado Libre, Mercado Pago, WhatsApp, Itau Bank, Caixa Bank, MetaMask e servizi CMS come WordPress e Joomla.
La catena di infezione nell’ultima campagna rimane la stessa di quelle viste in passato, agendo attraverso programmi di installazione di file MSI ingannevoli che innescano un’infezione in più fasi che utilizza sette moduli distinti.
Di fatto, i più recente aggiornamenti applicati al malware, hanno reso lo stesso più furtivo ed efficace rispetto al passato.
Tra le funzioni aggiunte, spicca il già citato DevTools di Google Chrome, sfruttato per ottimizzare il furto di dati dal browser. Secondo Morphisec, infatti, durante l’utilizzo del browser “Invece di attendere che il servizio target venga aperto dall’utente, il modulo apre attivamente il sito web del servizio e ruba i dati rilevanti, il tutto sfruttando il protocollo DevTools di Google“.
Gli stessi esperti hanno poi aggiunto come “Ogni attività apre la propria scheda ed espone le funzioni rilevanti nel modulo che verrebbero eseguite tramite il codice JavaScript inserito“.