Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散

Chaes banking trojan hijacks Chrome with malicious extensions

2022/01/26 BleepingComputer — 800 以上の侵害された WordPress Web サイトを含む、大規模なキャンペーンにより、ブラジルの電子銀行ユーザーの認証情報を狙うバンキング・トロイの木馬が拡散している。Avast の研究者たちによると、このキャンペーンで使用されているトロイの木馬は Chaes と呼ばれており、2021年後半から活発に拡散しているとのことだ。

Avast はブラジルの CERT に通知したが、キャンペーンは継続しており、マルウェアをプッシュする悪意のスクリプトにより、何百もの Web サイトがいまだに侵害されている。

攻撃の連鎖

侵害された Web サイトにアクセスすると、偽の Java ランタイム・アプリのインストールを要求するポップアップが表示される。この MSI インストーラーには、次のステージ・ローダーのために、Python 環境を準備する3つの悪意の JavaScript ファイル (install.js/sched.js/sucesso.js) が含まれている。sched.js スクリプトは、スケジュールされたタスクとスタートアップ・リンクを作成することで永続性を付加し、sucesso.js は C2 にステータスを報告する役割をもつ。その一方で、install.js スクリプトは以下のタスクを実行する。

  • インターネット接続の確認 (google.com を使用)。
  • APPDATA%\\extensions フォルダの作成。
  • python32.rar/python64.rar/unrar.exe などのパスワードで保護されたアーカイブを、extensions フォルダにダウンロードする。
  • 新たに作成した extensions フォルダのパスをHKEY_CURRENT_USER_Software_Python_Config_Path に書き込む。
  • 基本的なシステム・プロファイリングを行う。
  • unrar.exe コマンドを引数として指定されたパスワードで実行し、python32.rar/python64.rar を解凍する。
  • C2 に接続し、32bit/64bit の init.py スクリプトと、2つの暗号化されたペイロードをダウンロードする。各ペイロードには、疑似ランダムな名前が付いている。

    Python ローダー・チェーンはメモリ内で展開され、Python プロセス内で最終的なペイロードを実行するための準備が整うまで、複数のスクリプト/シェルコード/Delphi DLL をロードする。最終段階では、instruction.js が Chrome のエクステンションを取得し、被害者のシステムにインストールする。最後に、すべての拡張機能を適切な引数で起動する。

Chrome エクステンション

Avast によると、被害者のデバイスにインストールされた悪質な Chrome エクステンションとしては、以下の5種類が確認されている。

  • Online – 犠牲者をフィンガープリントし、レジストリキーを書き込む。
  • Mtps4 – C2 に接続し、PascalScripts の着信を待つ。また、スクリーンショットをキャプチャしてフルスクリーンで表示し、バックグラウンドで実行されている悪意のあるタスクを隠すことが可能である。
  • Chrolog – データベースを HTTP 経由で C2 に流出させることで、Google Chrome からパスワードを盗み出す。
  • Chronodx – バックグラウンドで静かに実行され、Chrome の起動を待つローダー機能と JSバンキングトロイの木馬である。ブラウザが開かれると、すぐに閉じて、銀行情報の収集を可能にするための、Chrome の独自のインスタンスを再び開く。
  • Chremows – オンライン・マーケットプレイス Mercado Libre の認証情報を標的にする。

    現時点で、Chaes のキャンペーンは継続しており、侵害された人々は、Web サイトが浄化されたとしても、引き続きリスクを負うことになる。Avast は、ペイロードの投下に悪用される危険な Web サイトの中には、ブラジルで非常に人気のサイトもあるため、感染したシステムの数は多いとしている。

ターゲットがブラジルなので、あまり切実な話とは感じませんが、この攻撃パターンが成功すると、世界へと広がる可能性があります。2022年に入ってからの金融分野のトピックとしては、「Zloader バンキング・マルウェアの新キャンペーン:Microsoft 署名検証を悪用」や、「インドネシアの中央銀行 Bank Indonesia が Conti に攻撃されデータ・リーク?」、「SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府」などがあります。よろしければ、カテゴリ Finance も ご参照ください。

%d bloggers like this: