Chaes Malware

I ricercatori hanno identificato un nuovo ceppo di malware implementato in una diffusa campagna di attacco mirata agli utenti nella regione dell'America Latina. Chiamato Chaes, il malware agisce come un infostealer che è stato progettato per concentrarsi principalmente sugli utenti della più grande entità di e-commerce della regione MercadoLibre. Fondato nel 1999 e con sede a Buenos Aires, in Argentina, MercadoLibre aveva un numero stimato di utenti di oltre 320 milioni alla fine del 2019.

Gli attori delle minacce dietro il Chaes Malware hanno stabilito una complessa catena di attacchi in più fasi per la loro minaccia. Il primo passo è diffondere la minaccia malware attraverso e-mail di phishing che trasportano documenti Word armati. Le e-mail devono apparire come se fossero state inviate da MercadoLibre come conferma di un acquisto effettuato in precedenza. Per aumentare ulteriormente la pretesa di legittimità, le e-mail portano una nota a piè di pagina in cui si afferma che sono state scansionate da un'applicazione di sicurezza.

Quando l'utente attiva il documento di Word danneggiato, si verifica il rilascio di un payload di prima fase sulla macchina compromessa tramite una tecnica di iniezione del modello che stabilisce una connessione con l'infrastruttura di comando e controllo dell'attaccante. Questo componente iniziale è responsabile della successiva consegna di un file .vbs, necessario per l'esecuzione di altri processi, e dei due componenti che coordinano le attività di Chaes Malware denominati "uninstall.dll" e "engine.bin". Diversi componenti minacciosi vengono distribuiti anche sul sistema compromesso, incluso un crypto miner.

Quando completamente stabilito, Chase Malware possiede una vasta gamma di capacità minacciose. La minaccia può raccogliere informazioni di sistema, nonché dati sensibili dalle sessioni di Google Chrome, raccogliere credenziali di accesso e avviare arbitrariamente sessioni Chome. Questa capacità è incredibilmente potente, poiché la minaccia malware può accedere alle pagine MercadoLibre e MercadoPago senza il consenso dell'utente. Il Chaes Malware può anche prendere screenshot delle pagine aperte. Tutti i dati privati ottenuti da Chase Malware verranno quindi esfiltrati nell'infrastruttura di comando e controllo degli aggressori.