Malware Chaes bukan sembarang malware karena memiliki perkembangan yang signifikan sejak kehadirannya, Begitu pula varian baru malware Chaes yang muncul baru-baru ini juga patut untuk diawasi.
Malware Chaes pertama kali muncul pada November 2020, menargetkan klien e-commerce. Operasinya berkembang secara signifikan pada akhir tahun 2021 ketika mereka menggunakan 800 situs WordPress yang disusupi untuk mendistribusikan malware.
Setelah terinfeksi, Chaes memasang ekstensi berbahaya di browser Chrome korban untuk membangun persistensi yang bertujuan:
-
Mengambil tangkapan layar.
-
Mencuri kata sandi dan kartu kredit yang disimpan.
-
Mengekstraksi cookie.
-
Menyadap kredensial perbankan online.
Dengan mampu menyadap dan mengeksfiltrasi seluruh data penting dari perangkat korban, malware Chaes memiliki banyak pilihan dalam serangan berikutnya.
Baca juga: Mengenal Malware Lebih Dekat |
Varian Baru Malware Chaes
Pada Januari 2023 versi Chaes baru ditemukan, menargetkan platform seperti ercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank, MetaMask, dan banyak layanan CMS seperti WordPress dan Joomla.
Chaes telah kembali sebagai varian baru yang lebih canggih yang mencakup implementasi khusus protokol Google DevTools untuk akses langsung ke fungsi browser korban, sehingga memungkinkannya mencuri data menggunakan WebSockets.
Rantai infeksi dalam kampanye terbaru ini tetap sama seperti yang terlihat di masa lalu, melibatkan penginstal MSI yang menipu dan memicu infeksi multi-langkah yang menggunakan tujuh modul berbeda yang menjalankan berbagai fungsi.
Perubahan Malware Chaes
Varian Chaes terbaru menghadirkan peningkatan secara menyeluruh, menjadikan fungsi malware lebih tersembunyi dan efektif.
Morphisec menyoroti perubahan berikut dalam rilis terbaru Chaes:
-
Arsitektur kode yang diperbarui.
-
Enkripsi berlapis-lapis dan teknik siluman yang ditingkatkan.
-
Beralih ke Python untuk dekripsi dan eksekusi dalam memori.
-
Penggantian ‘Dalang’ untuk memantau aktivitas browser Chromium dengan Chrome DevTools.
-
Perluasan layanan yang ditargetkan untuk pencurian kredensial.
-
Penggunaan WebSockets untuk komunikasi antara modul malware dan server C2, bukan HTTP.
-
Implementasi DGA (algoritma pembuatan domain) untuk resolusi alamat server C2 dinamis.
Puppeteer adalah library Node.js yang menyediakan API tingkat tinggi untuk mengontrol Chrome dalam headless mode (tersembunyi dari pengguna), yang didokumentasikan tahun lalu sebagai bagian dari dua ekstensi yang dipasang Chaes di browser perangkat yang dibobol.
Baca juga: Trik Hacker Menyusupkan Malware ke Perangkat |
Fitur Menonjol
Namun, fitur baru yang menonjol adalah penggunaan Chrome DevTools Protocol oleh Chaes untuk mencuri data dari browser web, termasuk
- Modifikasi halaman web secara real-time.
- Eksekusi kode JavaScript.
- Ddebugging.
- Manajemen permintaan jaringan.
- Manajemen memori.
- Cookie dan manajemen cache.
- Dan banyak lagi.
Daripada menunggu layanan yang ditargetkan dibuka oleh pengguna, modul tersebut secara aktif membuka situs web layanan dan mencuri data yang relevan, semua dilakukan dengan memanfaatkan Protokol DevTools Google.
Setiap tugas membuka tabnya sendiri dan menampilkan fungsi relevan dalam modul yang akan dijalankan melalui kode JavaScript yang dimasukkan.
Setelah menyiapkan data dan fungsi yang relevan, modul menavigasi ke URL yang ditargetkan, yang menciptakan peristiwa Page.loadEventFired yang memicu injeksi JavaScript ke URL yang dinavigasi.
Chaes mengulangi proses yang sama secara otomatis untuk semua URL yang dikonfigurasi modul pencuri untuk mencuri data.
Modul Chrautos
Penerapan komunikasi WebSockets adalah perubahan besar lainnya dalam modul ‘Chrautos’, yang bertanggung jawab atas komunikasi C2 dan mencuri data dari WhatsApp Web melalui suntikan JavaScript.
WebSockets mendukung komunikasi persisten untuk pertukaran data real-time dan berlatensi rendah, dapat mengirimkan data teks dan biner, tidak memerlukan permintaan cache atau proksi, dan umumnya lebih tersembunyi daripada HTTP.
Morphisec melaporkan bahwa semua pesan yang dipertukarkan antara C2 dan klien malware berformat JSON, dikodekan base64, dan dienkripsi AES.
Chaes adalah kasus malware pertama yang menampilkan penerapan khusus protokol DevTools Google Chrome untuk melakukan operasi jahat pada sistem yang terinfeksi, yang menegaskan sifat agresifnya.
Morphisec menyatakan telah melihat banyak tanda bahwa modul malware sedang dalam pengembangan aktif, sehingga fungsinya mungkin akan segera diperluas dan ditingkatkan.
Sumber berita: