引言
Chaes 是一款仅在巴西 运作的银行木马,于2020年11月首次由 Cybereason 报告。2021 年第四季度,Avast 观察到
Chaes 活动的增加,检测到超过 66,605
名巴西客户的感染尝试。在我们的调查中,我们发现该恶意软体通过许多受危害的网站进行分发,包括一些高度可信的网站。总的来说,Avast 合共在 800+
个网站上发现了 Chaes 的遗留物,其中超过 700 个包含巴西国别代码顶级域名 (TLD)。所有受害网站均为 WordPress
网站,这使我们猜测攻击向量可能是利用 WordPress CMS
的漏洞。然而,我们无法进行法医鉴定以证实此理论。我们立即将调查结果分享给巴西计算机应急小组(BR Cert),希望能阻止 Chaes的扩散。截止到本报告发布之时,我们所观察到的一些网站上仍然存在 Chaes 的遗留物。
Chaes 的特征是使用多阶段交付方式,利用多种脚本框架,如 JScript 、Python 和 NodeJS ,以及以
Delphi 语言编写的二进制档和恶意的 Google Chrome 扩展。Chaes 的最终目标是盗取存储在 Chrome中的凭证,并拦截巴西流行银行网站的登录信息。
在本篇报告中,我们将展示我们对于 2021 年第四季度发现的 Chaes 样本的分析结果。关于最新活动的后续更新将通过
或后续文章分享。
感染方案
当有人访问一个受到 Chaes 攻击的网站时,会弹出以下提示,要求用户安装 Java Runtime 应用程序:
如果用户按照指示操作,他们将下载一个冒充合法 Java 安装程序
的恶意安装程序。如下面所示,这个假安装程序在外观和行为上都与合法的巴西葡萄牙语 Java 安装程序非常相似。
一旦安装开始,用户的系统将被妥协。几分钟后,所有的网络凭证、Chrome 所存储的历史记录和用户档案将被发送给攻击者。用户可能会发现 GoogleChrome 自动关闭并重新启动。这表明,之后与以下巴西银行网站的所有互动将被监控和拦截:
mercadobitcoin.com.brmercadopago.com.[ar|br]mercadolivre.com.brlojaintegrada.com.br
技术分析
被感染的网站
在检查受攻击网站的 HTML 代码时,我们发现插入的恶意脚本如下所示:
在这个例子中,V=28 可能代表版本号。我们还发现了其他版本的 URL,如下:
https://is[.]gd/EnjN1x?V=31https://is[.]gd/oYk9ielu?D=30https://is[.]gd/Lg5g13?V=29https://is[.]gd/WRxGba?V=27https://is[.]gd/3d5eWS?V=26
该脚本创建了一个 HTML 元素,持续显示在页面上,诱使用户点击“Java Runtime 下载”。这个元素引用了来自可疑 URL 的图像:
https://sys-dmt[.]net/index.php?D\https://dmt-sys[.]net/
并执行从以下地址下载 Microsoft Installer :
https://bkwot3kuf[.]com/wL38HvYBiOl/index.php?get或https://f84f305c[.]com/aL39HvYB4/index.php?get或https://dragaobrasileiro[.]com.br/wp-content/themes/getCorsFile.php
Microsoft Installer
下方的流程图显示了恶意安装程序执行后的感染链。
在 MSI 包内,安装程序包含了三个恶意 JS 文件 install.js、sched.js 和 sucesso.js,这些文件的名称被重命名为
Binary._****。每个文件都执行不同的任务,但都能将进度汇报给指定的 CnC :
install.js
这个脚本的目的是下载并执行名为 runScript 的设置脚本,该脚本将为下一步加载器准备适当的 Python 环境。它向硬编码的域名发送
HTTP 请求后,下载并执行被混淆的 runScript,以执行以下任务:
- 检查网络连接(使用
google.com) - 创建
%APPDATA%\\<随机生成的文件夹名称>\\extensions文件夹 - 下载受密码保护的压缩档,如
python32.rar/python64.rar及unrar.exe到该扩展文件夹 - 将新创建的扩展文件夹路径写入
HKEY_CURRENT_USER\\Software\\Python\\Config\\Path - 执行一些基础的系统剖析
- 使用
unrar.exe命令,并将密码作为参数执行以解压python32.rar/python64.rar - 连接到 C2 下载32位和64位的
__init__.py**** 脚本以及两个加密的有效负载。每个有效负载都有随机生成的名称。
runScript.js 内容
sched.js
这个脚本的目的是设置持久性,保证从前一步下载的 __init__.py 能够执行。sched.js 主要通过创建一个 ScheduledTask 来实现,并作为备用措施创建一个 Startup link。最终,这两者都能确保在重新启动后执行以下命令:
...\\<python32|python64>\\pythonw.exe __init__.py /m
ScheduledTask 配置
sucesso.js
这个脚本向 CnC 报告受害者的初始安装已经成功,并为下一阶段准备就绪。
Python 加载器链
由 sched.js 创建的 Scheduled Task 最终会启动 __init__.py,接著启动 Python
的内存加载链。这个加载链涉及多层 Python 脚本、JS 脚本、shellcode、Delphi DLL 和 .NETPE ,我们将在本节进一步解释。令人印象深刻的是,最终有效负载在 __init__.py 过程(PID 2416 和
4160)中被执行,具体如下面所示:
*init*.py
混淆内容
__init__.py 会对由 runScript.js 下载的随机名称的档案进行 XOR 解密和解压缩,产生另一个 Python
脚本。新的 Python 脚本中嵌入了两个有效负载:以加密形式存在的 image 和 shellcode。image 代表 Chaes加载模块,名为 chaes_vy.dll,而 shellcode 是一个在内存中的 PE 加载器。我们发现在 Chaes的后续阶段中,这个特定的加载器 shellcode 多次出现。通过使用 CreateThread API 运行 shellcode,并提供正确的参数指向
chaes_vy.dll,该 Python 脚本最终会将 chaes_vy.dll 加载到内存中:
chaes_vy.dll 被嵌入的 shellcode加载到内存
Chaes_vy.dll
Chaes_vy 是一个 Delphi 模块,会加载一个内嵌的 .NET 可执行档 ,而该可执行档会运行两个 JavaScript
:script.js 和 engine.js。这两个脚本拥有 Chaes_vy 模块的核心功能。
script.js
此脚本作为 .NET 框架和 JScript 框架之间的介面,提供执行任何脚本和模块的必要工具,这些脚本和模块将在未来由
engine.js 下载。默认情况下,script.js 会尝试检索在 __init__.py
的参数中指定的有效负载路径。如果未找到有效负载,它将执行 engine.js。
engine.js
此脚本采用两种方法来检索 JS 有效负载:getBSCode() 和 getDWCode() 两者每六分钟调用一次。
getBSCode 是主要方法,也是唯一我们能观察到的负载供应。加密的有效负载隐藏在一个 Blogspot 页面的注释代码中,显示如下。如果未被
Chaes 感染,该网站是完全无害的。
Blogpost 页面显示隐藏的恶意代码
另一方面,当执行 engine.js 时,它将从 <div id=\"rss-feed\"> 开始解析字符串,这是加密有效负载的标记:
隐藏的代码
使用硬编码的密钥通过 AES 解密此文本后,将获得 instructions.js,并执行该脚本。此脚本负责下载和执行 Chaes 的恶意
Chrome “扩展”。有关 instructions.js 的更多信息将在下一节中提供。
getDWCode 是检索 instructions.js 的次要方法。它采用 DGA 方法当 getBSCode
失败时每周查找一个活动域名。由于我们未能观察到此方法被成功使用,我们无法提供此处的分析。然而,你可以访问我们的
,查看完整的算法。
Instructions.js
Instructions.js 是交付链的最后阶段。在这之前的任何步骤都没有实质性收益。instructions.js
的工作是下载并安装所有恶意扩展,这些扩展将利用 Chrome 浏览器并对受到感染的用户造成损害。所有有效负载的地址已被硬编码,如下所示:
扩展被分为受密码保护的压缩档和加密的二进制文件。未压缩的有效负载是可以独立运行的 PE 文件,而压缩的则为扩展添加了必要的 NodeJS包以供其运行。以下是 chremows63_64 压缩档内容的示例:
以 dll_filename 参数(如 chromeows2.bin)的所有二进制文件都被加密,包括压缩档内的文件。解密算法位于
script.js 中,如前所述。要解密和运行每个二进制文件,Chaes 需要调用 __init__.py,并将文件路径作为参数指定。
扩展的安装可以简化为以下步骤:
- 向一个 HTTP 请求 (
aws/isChremoReset.php) 发送请求,以检查特定的uid下的 Google Chrome 是否已被控制。如果没有,则关闭 Chrome 和 NodeJS。更多有关uid的信息将在下面的“在线”部分中提供。 - 根据三种情况构建下载请求:32位、64位和未找到 Google Chrome。每种情况都将包含适合版本的扩展及其下载链接。
- 下载扩展,并妥善解压压缩的有效负载。
- 为新下载的模块创建一个
hosts文件。该文件中的内容是从以下池中随机选择的 CnC 地址:
每个扩展将使用 hosts 中指定的地址进行 CnC 通信。
- 通过
python.exe __init__.py将每个扩展启动,并提供正确的参数,如下所示:
扩展
在线
online.dll 是一个短命的 Delphi 模块,由 instructions.js 执行,该模块的主要目的是通过生成一个 uid
来指纹受害者,该 uid 是 C: VolumeSerialNumber、UserName 和 Computername 的连接。uid
已被写入注册表键 SOFTWARE\\Python\\Config\\uid,然后包含在 beaconing 信息中。
此注册表键也是 instructions.js 之前获取 uid 的地方,并向 CnC 查询受害者的 Chrome 是否已被控制。在
instructions.js 第一次启动时,此注册表项尚未创建,因此 Chrome 进程总是会被终止。
online.dll 从 hosts 文件中检索指定的 CnC 伺服器,并执行 beaconing 请求
/aws/newClient.php,将受害者的 uid 和基本系统信息发送出去。
Mtps4 (MultiTela Pascal)
模块 mtps4 是一个用 Delphi 编写的后门,其主要目的是连接到 CnC ,并等待响应的 PascalScript
执行。与前一个模块相似,CnC 是从 hosts 文件中获取的。mtps4 向伺服器发送一个带有硬编码的 User-Agent 的 POST
请求,其中包含 uid 和命令类型。它目前支持两个命令:start 和 reset。如果 reset 命令的回应是 (* SCRIPTOK *),则会终止该进程。
start 命令则稍显有趣。
带有“start”命令的 HTTP 请求示例
作为对此命令的回应,预期将接收一段包含注释的 PascalScript 代码 (* SCRIPT OK *)。
mtps4 使用 https://github.com/remobjects/pascalscript 编译以支持
PascalScript。在运行之前,该脚本会创建一个窗口,复制屏幕并覆盖整个桌面,以避免在系统上执行恶意任务时引起怀疑。
不幸的是,在调查过程中,我们无法获得来自 CnC 的实际脚本。
Chrolog (ChromeLog)
Chrolog 是一款用 Delphi 编写的 Google Chrome 密码盗取工具。虽然它被列为一个扩展,但 Chrolog
是一个独立的工具,用于从 Chrome 数据库中提取用户个人数据,并通过 HTTP 将其外泄。CnC 伺服器同样从 hosts 文件中获取。
HTTP 请求 | 数据外泄
—|—
/aws/newUpload.php | Cookies 、Web Data 和 Login Data (加密)
/aws/newMasterKey.php | Chrome 主密钥,用于解密 Login Data
/aws/newProfileImage.php | 收集到的个人资料图片的 URL,来自 Local State 中的 last_downloaded_gaia_picture_url_with_size 属性
/aws/newPersonalData.php | 用户名、全名、gaia_name
/aws/bulkNewLogin.php | 所有 Login Data 被解密并添加到 local.sql 数据库中。然后将对应的数据库部分外泄
/aws/bulkNewUrl.php | 历史记录 被添加至 local.sql 数据库。然后将对应的数据库部分外泄
/aws/bulkNewAdditionalData.php | Web Data 被写入 local.sql 数据库,然后将对应的数据库部分外泄
/aws/bulkNewProcess.php | 所有运行中的过程被收集并写入 local.sql 数据库,然后将对应的数据库部分外泄
(Cookies 、Web Data 、Login Data 、历史记录 和 Local State 标准存放于
%APPDATA%\\Local\\Google\\Chrome\\User Data\\Default\\)
Chronodx (Chrome Noder)
chrolog.rar 内容包含 NodeJS 包和
chronodx.bin,即 Chronod2.dll。
Chronodx依赖项(“name”:“chremows”确实是定义的方式)
chronodx 扩展包可分为两部分:一个名为 Chronod2.dll 的加载器和一个名为 index_chronodx2.js 的
JavaScript 银行木马。首先,Chronod2.dll 执行 HTTP 请求
/dsa/chronod/index_chronodx2.js 来获取
index_chronodx2.js。如果成功,Chronod2.dll 将静默在背景中运行,直到检测到用户打开 Chrome浏览器。当这种情况出现时,它将关闭浏览器,并重新启动自己的 Chrome 实例,同时执行从 node.exe 运行的
index_chronodx2.js。
Chronodx 处于闲置状态
Chronodx 重新开启 Chrome 并执行
“node.exe index.js” 命令
在这种情况下,Index.js 是 index_chronodx2.js
Index_chronodx2.js 利用 ,这是一个提供 Chrome 浏览器控制 API 的
NodeJS 框架,用于恶意目的。Index_chronodx2.js 实现了许多功能以拦截巴西的流行银行网站,包括:
bancobrasil.com.br/aapfbancodobrasil.com.br/aapfbb.com.br/aapfmercadopago.com/…/card_tokens/mercadopago.com/enter-pass/mercadolivre.com/enter-pass/lojaintegrada.com.br/public/login/mercadobitcoin.com.br
当用户访问以上任一网站时,index_chronodx2.js 会开始收集受害者的银行信息,通过一系列 HTTP 命令发送给攻击者。CnC 伺服器存储在
hosts 文件中,但是如果未在系统中找到,则将使用硬编码的备用 CnC:
C2 命令 | 含义
—|—
/aws/newQRMPClient.php | 当在上述银行网站上发现 QR 码扫描时,应该将用户信息发送给攻击者,但该功能目前已注解掉
/aws/newContaBBPF.php | 当拦截 Bancodobrasil 银行网站时,发送用户银行信息
/aws/newContaCef.php | 当拦截 Caixa 银行网站时,发送用户银行信息
/aws/newCaixaAcesso.php | 告诉攻击者受害者已访问 Caixa 银行页面
/aws/newMercadoCartao.php | 当拦截 Mercado 银行网站时,发送用户银行信息
/aws/newExtraLogin.php | 当登录到某页面时发送用户凭据
Chremows (Chrome WebSocket)
Chremows 是另一个使用 NodeJS 和 的扩展,功能类似于 Cybereason 在
2020 报告中提到的 node.js 。Chremows 针对两个平台 Mercado Livre
(mercadolivre.com.br) 和 Mercado Pago (mercadopago.com.br),这两者都属于一家名为
Mercado Libre, Inc 的在线市场公司。
chremows 依赖项
chremows 与 chronodx 模块的结构相同,包含一个名为 CreateChrome64.dll 的加载器,该加载器下载一个名为
index.js 的基于 JavaScript 的银行木马。CreateChrome64.dll 将自动在发现更新版本时更新
index.js。与 chronodx 不同的是,chremows 一下载就立即执行 index.js,并不需要 Google Chrome打开。在一个单独的线程中,CreateChrome64.dll 加载内嵌的模块 ModHooksCreateWindow64.dll,该模块在
Cybereason 2020 报告中已经分析过。总的来说,这一模块有助于增强 chremows 在 Google Chrome上的能力,让攻击者能够执行“主动”任务,例如向 Chrome 发送键击/鼠标点击,或打开指定网页。最终,CreateChrome64.dll 将
Chrome 的 Local State 文件复制到 index.js 的同一位置,并命名为 local.json。Index.js
使用 local.json 来帮助攻击者识别受害者。
硬编码的 CnC
Index.js 使用两种方法与攻击者通信:通过 WebSocket 和 HTTP。每种方法都有自己的 C2 伺服器,如上图所示。WebSocket用于接收命令和发送与客户端相关的信息。另一方面,HTTP 用于将金融数据(如银行凭据和帐户信息)外泄给攻击者。
已知的 Index.js WebSocket 命令列表:
来自 C2 的命令 | 功能
—|—
welcome:: | 将 uid 和从 local.json 中提取的资讯发送给攻击者
control:: | 攻击者建立对 Google Chrome 的控制权
uncontrol:: | 攻击者取消对 Google Chrome 的控制
ping:: | 检查与客户端的连接是否正常
command:: | 发送命令,例如键击、鼠标点击
openbrowser:: | 以最小尺寸开启隐藏的 Chrome 窗口
如果用户保持连接到 WebSocket CnC 伺服器,则每六分钟会自动转到目标的 Mercado Pago 和 Mercado Livre页面,并执行恶意任务。在这一过程中,攻击者会失去直接对浏览器的控制。目标页面是需要用户登录的银行、信用和商家页面。如果用户未登出这些页面,攻击者将开始收集数据并通过以下
HTTP 请求进行外泄:
/aws/newMercadoCredito.php/aws/newMercadoPago.php
如果用户未登录这些页面,但在 Chrome 中保存了密码,则在例行操作结束后,攻击者将再次取得对 Chrome 的直接控制权,并手动登录。
总结
Chaes 利用许多网站,特别是使用 WordPress 的内容管理系统(CMS)来提供恶意安装程序。在这些网站中,我们特别努力通知 BR Cert的一些重要网站。这个恶意安装程序与远程伺服器通信以下载 Python 框架和恶意 Python 脚本,这些脚本启动了感染链的下一阶段。在最终阶段,恶意的
Google Chrome 扩展被下载到磁碟并在 Python 过程中加载。这些 Google Chrome 扩展能够盗取存储在 Chrome中的用户凭证并收集来自巴西流行银行网站的用户银行信息。
IOCs
完整的 IOC 列表可在 获得。
网络
HTML 脚本
is[.]gd/EnjN1x?V=31is[.]gd/oYk9ielu?D=30is[.]gd/Lg5g13?V=29tiny[.]one/96czm3nk?v=28is[.]gd/WRxGba?V=27is[.]gd/3d5eWS?V=26
MSI 下载网址
dragaobrasileiro[.]com.br/wp-content/themes/getcorsfile.php?chopeecia[.]com.br/D4d0EMeUm7/index.php?installbodnershapiro[.]com/blog/wp-content/themes/twentyten/p.php?dmt-sys[.]net/index.php?up-dmt[.]net/index.php?sys-dmt[.]net/index.php?x-demeter[.]com/index.php?walmirlima[.]com.br/wp-content/themes/epico/proxy.php?atlas[.]med.br/wp-content/themes/twentysixteen/proxy.php?apoiodesign[.]com/language/overrides/p.php?
CnC 伺服器
200[.]234.195.91f84f305c[.]combkwot3kuf[.]comcomercialss[.]comawsvirtual[.]blogspot.comcliq-no[.]link108[.]166.219.43176[.]123.8.149176[.]123.3.100198[.]23.153.130191[.]252.110.241191[.]252.110.75
SHA256 哈希值
档名 | 哈希值
—|—
MSI 安装程式|
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
init.py| 70135c02a4d772015c2fce185772356502e4deab5689e45b95711fe1b8b534ce6e6a44ca955d013ff01929e0fa94f956b7e3bac557babcd7324f3062491755e20b5646f45f0fad3737f231f8c50f4ed1a113eb533997987219f7eea25f69d93fabc071831551af554149342ad266cc43569635fb9ea47c0f632caa5271cdf32
runScript.js|
bd4f39daf16ca4fc602e9d8d9580cbc0bb617daa26c8106bff306d3773ba1b74
engine.js| c22b3e788166090c363637df94478176e741d9fa4667cb2a448599f4b7f03c7c
image| 426327abdafc0769046bd7e359479a25b3c8037de74d75f6f126a80bfb3adf183311b0b667cd20d4f546c1cb78f347c9c56d9d064bb95c3392958c79c0424428c9b3552665911634489af5e3cb1a9c0c3ab5aed2b73c55ae53b8731a1de23a9f
chremows| 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
chrolog| 9dbbff69e4e198aaee2a0881b779314cdd097f63f4baa0081103358a397252a16dc63ea4dbe5d710b7ba161877bd0a3964d176257cdfb0205c1f19d1853cc43b3e48f714e793b3111ce5072e325af8130b90a326eca50641b3b2d2eba7ac0a45754eeb010795c86d1cc47b0813da6bbc6d9153f1dd22da8af694a9e2dca51cda0762038fe591fef3235053c7136f722820de6d8457cae09d4aa9bf6cb7f497a1
chronod| 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
online| 3fd48530ef017b666f01907bf94ec57a5ebbf2e2e0ba69e2eede2a83aafef984
mtps4| 5da6133106947ac6bdc1061192fae304123aa7f9276a708e83556fc5f0619aab
标签:
、、、、、
分享:XFacebook
