← 보안센터로 돌아가기

보안정보 · 최신 보안 동향

은행과 물류 산업을 노리는 Chaes 악성코드 변종

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다.사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\<protuhuese_name>’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이

2023-09-08INCA Security Center

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다.


사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\<protuhuese_name>’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다.


최종적으로 사용자의 시스템에서 C&C 서버로 파일을 전송해 정보를 탈취한다.


[Chaes 공격 순서도]

사진 출처 : Morphisec

 

출처

[1] Morphisec (2023.09.05) – Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers

https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers