Chaes Malware

Forskerne identificerede en ny stamme af malware implementeret i en udbredt angrebskampagne rettet mod brugere i Latinamerika-regionen. Navngivet Chaes fungerer malware som en infostealer, der er designet til primært at fokusere på brugerne af regionens største e-handelsenhed MercadoLibre. MercadoLibre blev grundlagt tilbage i 1999 og har hovedkontor i Buenos Aires, Argentina.

Trusselsaktørerne bag Chaes Malware har etableret en kompleks, flertrins angrebskæde for deres trussel. Det første skridt er at formidle malware-truslen gennem phishing-e-mails, der bærer våbeniserede Word-dokumenter. Det er meningen, at e-mails skal vises som om de sendes af MercadoLibre som en bekræftelse på et tidligere foretaget køb. For yderligere at tilføje til foregivelsen af legitimitet indeholder e-mails en fodnote om, at de er blevet scannet af en sikkerhedsapplikation.

Når brugeren udløser det beskadigede Word-dokument, resulterer det i, at en første-trins nyttelast tabes på den kompromitterede maskine gennem en skabeloninjektionsteknik, der opretter en forbindelse til angriberens Command-and-Control-infrastruktur. Denne indledende komponent er ansvarlig for den efterfølgende levering af en .vbs-fil, der kræves til udførelse af andre processer, og de to komponenter, der koordinerer Chaes Malwares aktiviteter ved navn 'uninstall.dll' og 'engine.bin.' Flere truende komponenter er også implementeret på det kompromitterede system inklusive en kryptominer.

Når den er fuldt etableret, har Chase Malware en lang række truende kapaciteter. Truslen kan høste systemoplysninger såvel som følsomme data fra Google Chrome-sessioner, indsamle loginoplysninger og vilkårligt starte Chome-sessioner. Denne evne er utrolig stærk, da malware-truslen kan få adgang til MercadoLibre- og MercadoPago-siderne uden brugerens samtykke. Chaes Malware kan også tage skærmbilleder af de åbnede sider. Alle de private data, der er opnået af Chase Malware, bliver derefter exfiltreret til angribernes Command-and-Control-infrastruktur.