Chae$4

Chaesと呼ばれるマルウェアの新版の猛威が観測されています。
ターゲットになってしまっているのは銀行業界と物流業界です。
Chaesそのものは新しいものではありません。
古くは2020年にすでに観測されており、これまでに多くの侵害を行ってきています。
その時間の中で次々に更新が重ねられており、その更新に伴い順次姿を変えてきています。
そんなChaesのさらに新しい版の活動が観測されています。

新しい版のChaesの名前はChae$4です。
新しい版は、いわゆるバージョン4なのかもしれません。
コードの中にChae$4という文字列が含まれていたため、この版はChae$4と研究者に呼ばれています。
細かな変更はより頻繁に行われていると思われますが、大きな変化のあったバージョンだけでも4回目のものになっているということなのでしょう。
どんな変更があったのでしょうか。

• コードアーキテクチャとモジュール分割の改善
• 暗号化層を追加し、ステルス機能を強化
• 実装言語をPythonに変更し、復号化機構や動的メモリ内実行を実現
• Chromium系ブラウザのアクティビティを監視および傍受する機構の実装
• 認証情報の盗難を対象としたサービスの拡張カタログ
• モジュールとC2の間の主な通信にWebSocketを採用
• C2のアドレスを動的に解決するためのドメイン生成アルゴリズムの実装

このマルウェアはどのようにして侵害環境に入ってくるのでしょうか。
確認されている例では、ウイルス対策ソフトウェアなどのインストーラーを装うMSIインストーラーとして作られたファイルとして配布されているというものがあります。
持ち込まれて実行されると、マルウェアを構成するファイルはそれぞれ配置され、永続化が実現されてしまいます。
頻繁に更新されることや各種回避機構の実装により、持ち込まれてしまったものが感染することを回避することは容易ではなさそうです。
実際、このマルウェアの含まれる悪意あるMSIファイルのいくつかは、現状多くのセキュリティ製品でアラートできません。

コンピュータシステムの利用者として対策できそうなことはいつも通りのものになりそうです。
ファイルの入手経路には注意したいですね。
Shift Leftを意識していきましょう。

参考記事（外部リンク）：Chae$ 4: New Chaes Malware Variant Targeting Financial and
Logistics Customers
blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers