Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Chaes

¿Qué es?

Chaes, también conocido como Chae$, es un malware de tipo troyano bancario con capacidades de stealer y estructura modular que se enfoca en infectar dispositivos Windows para robar información financiera y credenciales de plataformas de banca en línea y comercio electrónico. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

  • Roba credenciales almacenadas en navegadores web y datos sensibles introducidos por el usuario, como usuarios y contraseñas de banca en línea.
  • Intercepta formularios web y manipula sesiones activas de banca electrónica.
  • Captura información del sistema, como la versión del sistema operativo, la dirección IP, el software instalado y las configuraciones del navegador.
  • Registra pulsaciones de teclas (keylogging) para robar datos introducidos manualmente.
  • Realiza ataques man-in-the-browser (MitB) para interceptar y alterar el contenido visualizado por el usuario en páginas legítimas.
  • Descarga e instala módulos adicionales de otros programas maliciosos para ampliar su funcionalidad.
  • Abusa de los navegadores web, como Google Chrome, a través de extensiones maliciosas o la modificación del perfil del navegador, para vigilar y manipular la navegación web.
  • Utiliza mecanismos de persistencia como tareas programadas, entradas en el registro y cambios en la configuración del sistema operativo.
  • Roba cookies del navegador para secuestrar sesiones activas en sitios de banca o comercio electrónico sin necesidad de credenciales.
  • Intenta identificar y desactivar procesos o servicios relacionados con antivirus o entornos de análisis.
  • Incorpora técnicas para evadir entornos virtualizados y análisis automatizados.
  • Se conecta con servidores de mando y control (C2) para descargar nuevos módulos o actualizaciones de su código malicioso.
  • Puede grabar vídeo de la pantalla del usuario si detecta sesiones sensibles.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing mediante correos electrónicos fraudulentos que incluyen archivos adjuntos maliciosos o enlaces a instaladores comprometidos, a través de falsas actualizaciones de software o instaladores de herramientas ofimáticas y de productividad muy utilizadas, a través de descargas desde sitios web comprometidos y a través de paquetes comprimidos maliciosos que incluyen sus módulos y scripts ofuscados.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos.

Más información

Compartir en Redes Sociales