최신 보안 동향

은행과 물류 산업을 노리는 Chaes 악성코드 변종

TACHYON & ISARC 2023. 9. 8. 15:55

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다.

 

사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 %Appdata%\<protuhuese_name> 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다.

 

최종적으로 사용자의 시스템에서 C&C 서버로 파일을 전송해 정보를 탈취한다.

 

[Chaes 공격 순서도]

사진 출처 : Morphisec

 

출처

[1] Morphisec (2023.09.05) – Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers

https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers