0
0
Especialistas da Cybereason Nocturnus descobriram uma campanha ativa que tem como alvo usuários de uma grande plataforma de comércio eletrônico na América Latina com malware Chaes.
Especialistas da Cybereason Nocturnus descobriram uma campanha ativa direcionada aos usuários de uma grande plataforma de comércio eletrônico na América Latina com malware rastreado como Chaes.
O malware Chaes foi visto pela primeira vez no meio do final de 2020 por
pesquisadores da Cybereason, é um ladrão de informações multiestádulo que se concentra nos clientes brasileiros do MercadoLivre, a maior empresa de e-commerce da América Latina. Em 2019, mais de 320 milhões de usuários foram cadastrados na plataforma de e-commerce MercadoLivre.
Chaes é escrito em várias linguagens de programação, incluindo Javascript,
Vbscript, .NET , Delphi e Node.js. Especialistas acreditam que o código malicioso está em desenvolvimento.
“Chaes tem como alvo especificamente o site brasileiro da empresa de e-commerce MercadoLivre e sua página de pagamento MercadoPago para roubar informações financeiras de seus clientes. A carga final de Chaes é um ladrão de informações Node.Js que exfiltra dados usando o processo de nó.” lê a análise publicada pela Cybereason.
Chaes também é capaz de tirar capturas de
tela da máquina da vítima, e conectar e monitorar o navegador do Chrome para coletar informações do usuário de hosts infectados.
A cadeia de mortes começa com mensagens de phishing que usam um arquivo .docx que uma vez é aberto desencadeia um ataque de injeção de modelo.
Ao se conectar ao servidor de comando e controle, o malware baixa a primeira carga maliciosa na forma de um arquivo .msi, que implanta um arquivo .vbs usado para executar outros processos, bem como desinstalar.dll e motor.bin. O malware também instala outros três arquivos, hhc.exe, hha.dll e chaes1.bin, os pesquisadores também observaram o uso de um módulo de mineração de criptomoedas.
Os invasores usam o recurso incorporado do Microsoft Word para obter uma carga útil de um servidor remoto, alterando o alvo de modelo das configurações.xml arquivo que está incorporado no documento e preenchendo este campo com uma URL de download da próxima carga útil.
A cadeia de ataque chaes é
composta por várias etapas que incluem o uso de LoLbins e outros softwares legítimos para evitar a detecção por produtos AV.
Especialistas observaram várias variantes nos últimos meses, os autores de ti melhoraram a criptografia e implementaram novas funcionalidades do módulo .js Nó final.
“O malware multiestádido que utiliza tais técnicas na região latam e especificamente no Brasil já foram observados e investigados pela Cybereason nos últimos anos. Chaes demonstra o quão sofisticados e criativos autores de malware na região da América Latina podem ser ao tentar alcançar seus objetivos”, conclui o relatório. “O malware não só serve como um sinal de alerta para pesquisadores de segurança da informação e profissionais de TI não levarem de ânimo leve a existência de arquivos que são legítimos por natureza, mas também levanta a preocupação de uma possível tendência futura no uso da biblioteca Puppeteer para novos ataques em outras grandes instituições financeiras”
FONTE: SECURITY AFFAIRS