Brasil, São Paulo, 26 de janeiro de 2021 — A Avast (LSE:AVST), líder global em segurança e privacidade digital, observou um aumento na atividade do trojan bancário Chaes no Brasil, durante o quarto trimestre de 2021. O Chaes é um trojan bancário que opera exclusivamente no Brasil e foi reportado pela primeira vez em novembro de 2020 pela Cybereason. No último trimestre de 2021, a Avast observou um aumento nas atividades do Chaes. A Avast detectou e bloqueou o trojan bancário, evitando a infecção de mais de 66.000 clientes da Avast no Brasil, no quarto trimestre de 2021. O Chaes foi desenvolvido para roubar credenciais de login armazenadas no navegador Chrome, bem como roubar credenciais de login de sites bancários populares no Brasil, quando os clientes tentam acessar as suas contas.
“Em nossa investigação, descobrimos que o Chaes está sendo distribuído por meio de muitos sites comprometidos, incluindo sites altamente confiáveis. No geral, encontramos partes ativas e inativas do código Chaes em mais de 800 sites, e mais de 700 deles contidos em sites .BR”, diz Anh Ho, pesquisador de malware da Avast. “Todos os sites comprometidos que encontramos são sites do WordPress, o que nos leva a acreditar que os maus agentes, por trás disso, estão explorando vulnerabilidades no CMS do WordPress. Imediatamente compartilhamos as nossas descobertas com o CERT brasileiro, para ajudar a evitar a propagação do Chaes. Ainda hoje, o código de Chaes permanece em alguns dos sites que encontramos.
Quando alguém acessa um site comprometido pelo Chaes é apresentado um pop-up*, que solicita ao visitante do site instalar um aplicativo Java Runtime. Se o usuário seguir as instruções, ele fará o download de um instalador malicioso, o qual se apresenta como um instalador Java legítimo. A falsa janela do instalador malicioso** imita de forma muito parecida o legítimo instalador do Java em português para usuários brasileiros, em termos de aparência e comportamento.
Quando a instalação estiver concluída, o computador do usuário estará comprometido. Após alguns minutos, todas as credenciais de login, históricos e perfis do usuário armazenados pelo Chrome são enviados aos invasores. Os usuários podem experimentar fechar e reiniciar o Google Chrome automaticamente. Isso indica que qualquer interação futura com os sites bancários brasileiros (lista a seguir) será monitorada e interceptada pelo trojan bancário. Isso significa que o malware rouba os detalhes da conta, como credenciais de login, número da conta bancária, saldo da conta e muito mais.
Além disso, o Chaes pode abrir o navegador Chrome em determinadas páginas, sem interação do usuário. Se os usuários, por exemplo, não se desconectarem da sua conta bancária online ou tiverem as credenciais de login salvas no navegador, o malware poderá acessar a conta, potencialmente sem o conhecimento do usuário.
Anh Ho recomenda que os consumidores usem um software antivírus, como o Avast Free Antivirus, para detectar e impedir que o malware infecte os seus computadores. Além disso, Anh recomenda que os consumidores instalem o software diretamente da sua fonte, em vez de fazer a instalação via pop-ups exibidos enquanto navegam na web. Por fim, Anh aconselha os usuários a evitar salvar senhas no navegador. Uma alternativa boa e confiável para isso é o uso de um gerenciador de senhas seguro.
Para os proprietários de sites, Anh recomenda o uso de senhas fortes e exclusivas para proteger o CMS - WordPress e sites semelhantes usados para manter as páginas web. Além disso, o pesquisador de malware recomenda que os proprietários de sites verifiquem os logs de software em busca de qualquer atividade suspeita, incluindo alterações de arquivos, alterações em bancos de dados ou tentativas de login. Por fim, ele recomenda manter o software atualizado e usar um firewall de aplicativo web, o que pode ajudar a evitar que visitantes indesejados alterem o código do site. Manter o software atualizado ajuda a corrigir vulnerabilidades que podem ser exploradas para obter acesso, enquanto um firewall filtra o tráfego entre a internet e o aplicativo web, usado para executar o site.
Uma análise técnica completa do Chaes pode ser encontrada no blog Avast Decoded: https://decoded.avast.io/anhho/chasing-chaes-kill-chain/