Chaes 악성 소프트웨어가 Google DevTools 프로토콜의 사용자 정의 구현을 포함한 새로운 고급 변종으로 돌아왔습니다. 이 변종은 희생자의 브라우저 기능에 직접 접근하여 WebSockets를 사용해 데이터를 도난당합니다. 이 악성 소프트웨어는 처음에 2020년 11월에 나타났으며, Latin America의 전자상거래 클라이언트를 대상으로 했습니다. Avast는 2021년 말까지 이 악성 소프트웨어가 800개의 손상된 워드프레스 사이트를 이용하여 악성 소프트웨어를 유포하는 것을 발견했습니다.

Chaes의 새로운 버전은 Morphisec에 의해 2023년 1월에 발견되었습니다. 대상 플랫폼은 주로 Mercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank, MetaMask, 그리고 WordPress와 Joomla와 같은 많은 CMS 서비스들입니다. 최근의 캠페인에서 감염 과정은 과거의 감염과 동일합니다. 모듈은 다양한 기능을 수행하는 일곱개의 별도의 모듈을 사용하는 다단계 감염을 촉발하는 MSI 설치 프로그램을 사용합니다.

Chaes의 최신 버전은 악성 소프트웨어의 기능성을 더욱 은밀하고 효과적으로 만드는 각종 개선 사항을 특징으로 합니다. Morphisec는 Chaes의 최신 릴리즈에서 다음과 같은 변화를 강조하고 있습니다. 개선된 코드 아키텍처, 다양한 암호화 계층 및 개선된 은밀성 기법, 복호화와 인-메모리 실행을 위한 Python으로의 전환, Chromium 브라우저 활동 모니터링에 대한 'Puppeteer'의 'Chrome DevTools'로의 교체, 증명서 도난 대상 서비스 확장, HTTP 대신 악성 소프트웨어 모듈과 C2 서버 사이의 통신에 WebSockets 사용, 동적 C2 서버 주소 결정을 위한 DGA(도메인 생성 알고리즘) 구현 등이 있습니다.

요약

- Chaes 악성 소프트웨어는 Google DevTools 프로토콜의 사용자 정의 구현을 포함한 새로운 복잡한 변종으로 재등장했다.
- Avast는 2021년 말까지 이 악성 소프트웨어가 800개의 손상된 워드프레스 사이트를 이용하여 악성 소프트웨어를 유포하는 것을 발견했다.
- 최신 Chaes 버전은 개선된 코드 아키텍처, 다양한 암호화 계층, 개선된 은밀성 기술 등의 향상된 기능을 갖추고 있다.
- 이 복잡한 변종은 Chromium 브라우저 활동 모니터링에 'Puppeteer' 대신 'Chrome DevTools'를 사용하며, HTTP 대신 악성 소프트웨어 모듈과 C2 서버 사이의 통신에 WebSockets를 사용한다.
- 이는 감염된 시스템에서 악의적인 작업을 수행하기 위한 Google Chrome의 DevTools 프로토콜을 사용자 정의 구현으로 포함하는 첫 번째 주목할만한 사례이다.

Reference

https://www.bleepingcomputer.com/news/security/chaes-malware-now-uses-google-chrome-devtools-protocol-to-steal-data/
https://www.bleepstatic.com/content/hl-images/2022/09/03/data-theft.jpeg

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*