Buenos Aires, Argentina, 02 de Febrero de 2021 — Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, ha observado un aumento de la actividad del troyano bancario Chaes en Brasil durante el cuarto trimestre de 2021. Chaes es un troyano bancario que opera exclusivamente en Brasil y fue reportado por primera vez en noviembre de 2020 por Cybereason. En el último trimestre de 2021, Avast observó un aumento de las actividades de Chaes. Avast detectó y bloqueó el troyano bancario, evitando la infección de más de 66.000 clientes de Avast en Brasil en el cuarto trimestre de 2021. Chaes está diseñado para robar las credenciales de inicio de sesión almacenadas en el navegador Chrome, así como para robar las credenciales de inicio de sesión de sitios web bancarios populares en Brasil cuando los clientes intentan acceder a sus cuentas. Si bien Argentina no es el principal objetivo potencial de este troyano bancario, pero es importante conocer este tipo de estafas la cual ponen en riesgo la privacidad y la libertad de los usuarios en el mundo digital.
"En nuestra investigación, descubrimos que Chaes se está distribuyendo a través de muchos sitios web comprometidos, incluyendo sitios de gran confianza. En general, encontramos partes activas e inactivas del código Chaes en más de 800 sitios, y más de 700 de ellos contenidos en sitios .BR", dice Anh Ho, investigador de malware de Avast. "Todos los sitios comprometidos que encontramos son sitios de WordPress, lo que nos lleva a creer que los malos actores detrás de esto están explotando vulnerabilidades en el CMS de WordPress. Inmediatamente compartimos nuestros hallazgos con el CERT brasileño para ayudar a prevenir la propagación del Chaes. Incluso hoy, el código de Chaes permanece en algunos de los sitios que encontramos.
Cuando alguien accede a un sitio web comprometido por Chaes, se presenta una ventana emergente* que pide al visitante del sitio que instale una aplicación Java Runtime. Si el usuario sigue las instrucciones, descarga un instalador malicioso, que se presenta como un instalador legítimo de Java. La ventana del falso instalador malicioso** imita el instalador legítimo de Java en portugués para los usuarios brasileños en términos de apariencia y comportamiento.
Una vez completada la instalación, el ordenador del usuario queda comprometido. Después de unos minutos, todas las credenciales de inicio de sesión, los historiales de los usuarios y los perfiles almacenados por Chrome se envían a los atacantes. Los usuarios pueden experimentar el cierre y reinicio de Google Chrome automáticamente. Esto indica que cualquier interacción futura con los sitios web bancarios brasileños (listados abajo) será monitoreada e interceptada por el troyano bancario. Esto significa que el malware roba detalles de la cuenta, como las credenciales de inicio de sesión, el número de la cuenta bancaria, el saldo de la cuenta, etc.
Además, Chaes puede abrir el navegador Chrome a ciertas páginas sin la interacción del usuario. Si los usuarios, por ejemplo, no cierran la sesión de su cuenta bancaria en línea o tienen sus credenciales de acceso guardadas en el navegador, el malware puede acceder a la cuenta, potencialmente sin que el usuario lo sepa.
Anh Ho recomienda a los consumidores que utilicen programas antivirus, como Avast Free Antivirus, para detectar y evitar que el malware infecte sus ordenadores. Además, Anh recomienda a los consumidores que instalen el software directamente desde su fuente, en lugar de hacerlo a través de las ventanas emergentes que aparecen mientras se navega por la web. Por último, Anh aconseja a los usuarios que eviten guardar las contraseñas en el navegador. Una buena y fiable alternativa a esto es utilizar un gestor de contraseñas seguro.
Para los propietarios de sitios web, Anh recomienda utilizar contraseñas fuertes y únicas para proteger el CMS - WordPress y sitios similares utilizados para mantener las páginas web. Además, el investigador de malware recomienda a los propietarios de sitios web que comprueben los registros de software para detectar cualquier actividad sospechosa, como cambios en los archivos, en las bases de datos o intentos de inicio de sesión. Por último, recomienda mantener el software actualizado y utilizar un cortafuegos de aplicaciones web, que puede ayudar a evitar que los visitantes no deseados alteren el código del sitio web. Mantener el software actualizado ayuda a corregir las vulnerabilidades que pueden ser explotadas para obtener acceso, mientras que un cortafuegos filtra el tráfico entre Internet y la aplicación web utilizada para ejecutar el sitio.
Se puede encontrar un análisis técnico completo de Chaes en el blog de Avast Decoded: https://decoded.avast.io/anhho/chasing-chaes-kill-chain/