Malware Chaes: la nuova variante prende di mira finanza e logistica

I ricercatori di Morphisec hanno individuato una nuova variante del malware Chaes che, a quanto pare, sembra aver preso di mira il settore finanziario e quello logistico.

L’agente malevolo in questione, a quanto pare, ha avuto un picco di diffusione tra i mesi di aprile e giugno 2023 e si è dimostrato in grado di causare gravi danni alle infrastrutture colpite.

Secondo gli esperti di Morphisec, il malware è stato sottoposto a diverse revisioni di recente, con una riscrittura in linguaggio Python, con conseguente abbassamento dei tassi di rilevamento da parte di antivirus e strumenti simili. La riprogettazione del protocollo di comunicazione e diversi moduli integrabili, rendono Chaes ancora più temibile rispetto al passato.

Oltre alla finanza e alla logistica, il malware sembra non aver risparmiato neanche i principali CMS (Content Management System) sul mercato, come WordPress, Joomla, Drupal e Magento.

Chaes è un malware attivo dal 2020, ma che ha saputo mantenersi temibile durante questi anni

Come già accennato, Chaes non è un agente malevolo nuovo. La sua prima apparizione, infatti, risale all’ormai lontano novembre 2020.

Il malware, infatti, è stato individuato dai ricercatori di Cybereason che hanno notato una serie di casi in cui erano coinvolti e-Commerce nel contesto dell’America Latina (soprattutto in Brasile).

Come è facile intuire, Chaes ha usufruito di diverse migliorie nei quasi tre anni di attività, con un’architettura del codice perfezionata e una migliore modularità, un catalogo ampliato di servizi mirati al furto di credenziali, l’implementazione di DGA per la risoluzione dinamica dell’indirizzo del server C2 e tante altre funzionalità.

L’infezione inizia eseguendo un programma di installazione MSI dannosa, difficile da individuare, che di solito finge di essere un programma di installazione JAVA JDE o un installer di software antivirus.

L’attivazione dell’eseguibile malevolo farà sì che il malware si attivi, scaricando i file richiesti all’interno di una cartella dedicata e codificata appositamente.