Chaes adalah jenis Trojan (malware) yang menyerang sektor perbankan. Pertama kali ditemukan di Brazil pada bulan November 2020 dan masih aktif hingga kini. Para peneliti di Avast telah menemukan infeksi Chaes pada lebih dari 800 website secara kesluruhan.
Lebih dari 700 serangan tersebut berbasis TLD dari Brazil. Website yang diserang adalah yang berbasis WordPress, yang berarti Chaes dapat mengeksploitasi kelemahan sistem manajemen konten dari WordPress.
Satu karakteristik yang menarik dari Chaes adalah metode distribusi bertahapnya, yang menggunakan kerangka programming seperti JScript, Python, dan NodeJS, binary file yang tertulis dalam Delphi, serta Google Chrome extension yang berbahaya.
Tujuan utama Chaes adalah mencuri password yang tersimpan di dalam Chrome dan menyadap login pada situs-situs finansial seperti perbankan di Brazil.
Chaes: Malware Trojan Perbankan
Sekitar 800 website yang terinfeksi digunakan untuk menyebarkan Trojan perbankan dalam skala besar, yang dirancang untuk mencuri data-data kredensial milik pelanggan e-banking di Brazil.
Ketika korban masuk ke situs yang diretas, mereka disambut dengan sebuah pop-up window yang menyuruh mereka untuk mengunduh dan menginstal semacam aplikasi Java Runtime (JRE). Kemudian, file-file JavaScript berbahaya (install.js, sched.js, and sucesso.js) pada installer MSI (install.js, sched.js, and sucesso.js) memasang Python untuk tahap selanjutnya.
Tindakan ini dilakukan dengan menggunakan script scheduled.js, yang membuat sebuah Scheduled Task dan Startup link, dan script sucesso.js yang melaporkan status ke C2.
Python loader chain mulai bekerja di memory dan membutuhkan loading untuk beberapa script, shellcode, dan Delphi DLL hingga semuanya siap untuk dijalankan di dalam Python, yang kemudian menyelesaikan Python Loader Chain.
Proses ini diselesaikan oleh instruction.js, yang masuk kedalam extension Chrome dan menginstal malware ini pada komputer milik korban pada tahap akhir. Semua extension pada malware ini dijlankan berdasarkan parameter yang sudah dipersiapkan.
Sebagaimana yang telah dijelaskan oleh BleepingComputer, kampanye Chaes masih terus berjalan,dan semua perangkat yang terkena malware ini akan selalu berada dalam bahaya setelah semua websitenya dibersihkan.
Selalu pastikan keamanan data anda dengan Heimdal Security! Solusi lengkap untuk mengatasi berbagai serangan malware yang sulit terdeteksi. Hubungi tim marketing kami untuk informasi lebih lengkap dan dapatkan demo 30 hari secara gratis.
Dapatkan kemudahan mengatasi malware dengan antivirus software dari Heimdal Security. Dapatkan Demo Heimdal Security Secara Gratis, Untuk Mengetahui Selengkapnya!
Sumber: Heimdal Security
- Ransomware Android: Cara Kerja dan Cara Mencegahnya - 13/02/2022
- Risiko Cyber Security Pada NFT - 31/01/2022
- Ransomware Darkside - 30/01/2022