多段階感染に拡張されているChaes

ほぼこもセキュリティニュース By Terilogy Worx

Chaesはバンキングトロイです。
最初に報告されたのは2020年11月でした。
2021年終わり頃に拡張されたChaesが観測されています。

  • 配布サイト構築のため、WordPressサイトを侵害する
    キャンペーンの開始段階として悪用するため、多数のWordPressサイトを侵害します。
    今回観測されている例では、800以上のサイトが侵害されChaesの配布サイトとして悪用されています。
  • ユーザが侵害されたWebサイトにアクセスする
    侵害されたWordPressにユーザがアクセスします。
    もともとのWordPressのコンテンツはそのまま提供されますが、もともとは存在しなかったスクリプトが挿入されています。
  • 挿入されたスクリプトがユーザの手元で動作開始する
    感染活動が開始されます。
  • 多段階で感染活動する
    非常に多数の段階で活動を展開します。
    3つのJavaScriptをダウンロードし実行する、それらは別のJavaScriptやPythonスクリプトをダウンロードし実行する、データをダウンロードし復号化する、復号化したJavaScriptをメモリにロードする、いろいろ処理し別のJavaScriptを読み込む、複数の種類のChromeエクステンションをダウンロードする、などのように非常に多くの段階で活動を実施します。
  • ユーザがChromeで銀行のサイトを訪問する
    いくつかの銀行向けに個別の情報取得機構が用意されて待ち構えています。
    今回観測されている攻撃はブラジルをターゲットとしたものでした。いくつものメジャーなブラジルの銀行向けにそれぞれ準備がされていました。
  • 情報を盗む
    ユーザが銀行サイトにログインするのを待ち構えログイン情報を盗みます。
    ログインしない場合でもChromeに保存されたログイン情報があればChromeを制御してログイン情報を盗みます。

こんなChaesに対して、どのような対応をしていくのがよいでしょうか。
通常、なるべく根元のほうで対応が実施できると被害が大きくなりにくいといえます。
仮にすべてのWordPressが必要十分に更新され、適切な設定で適切に運用されていたら、この問題はここまで大きくなることはなかったかもしれません。
仮にこうなったとすると、今度は別のコンテンツマネジメントシステムが標的となるかもしれません。
そうしたら今度はその別のコンテンツマネジメントシステムの運用者の皆さんは、そのすべてのサイトを必要十分に更新し、適切な設定で適切に運用しましょう。
そうしたら今度は。
切りがないですね。
しかし、特効薬はまだ見つかっていません。
正攻法で考えて適切な運用を継続していくことが必要かもしれません。

参考記事(外部リンク):Chasing Chaes Kill Chain
decoded.avast.io/anhho/chasing-chaes-kill-chain/