Chaes Malware

De onderzoekers ontdekten een nieuwe vorm van malware die werd ingezet in een wijdverspreide aanvalscampagne gericht op gebruikers in de regio Latijns-Amerika. De malware, genaamd Chaes, fungeert als een infostealer die is ontworpen om zich voornamelijk te richten op de gebruikers van MercadoLibre, de grootste e-commerce-entiteit in de regio. MercadoLibre, opgericht in 1999 en met het hoofdkantoor in Buenos Aires, Argentinië, had eind 2019 een geschat aantal gebruikers van meer dan 320 miljoen.

De dreigingsactoren achter de Chaes Malware hebben een complexe, meerfasige aanvalsketen voor hun dreiging opgezet. De eerste stap is het verspreiden van de malwarebedreiging via phishing-e-mails met bewapende Word-documenten. De e-mails zijn bedoeld om te verschijnen alsof ze door MercadoLibre zijn verzonden als een bevestiging van een eerder gemaakte aankoop. Om het voorwendsel van legitimiteit nog meer te versterken, bevatten de e-mails een voetnoot waarin staat dat ze zijn gescand door een beveiligingsapplicatie.

Wanneer de gebruiker het beschadigde Word-document activeert, resulteert dit in een payload in de eerste fase die op de gecompromitteerde machine valt via een sjablooninjectietechniek die een verbinding tot stand brengt met de Command-and-Control-infrastructuur van de aanvaller. Deze eerste component is verantwoordelijk voor de daaropvolgende levering van een .vbs-bestand, dat nodig is voor de uitvoering van andere processen, en de twee componenten die de activiteiten van Chaes Malware coördineren, genaamd 'uninstall.dll' en 'engine.bin'. Verschillende bedreigende componenten worden ook ingezet op het gecompromitteerde systeem, waaronder een cryptominer.

Wanneer de Chase Malware volledig is vastgesteld, beschikt het over een groot aantal bedreigende mogelijkheden. De dreiging kan systeeminformatie verzamelen, evenals gevoelige gegevens van Google Chrome-sessies, inloggegevens verzamelen en willekeurig Chome-sessies starten. Deze mogelijkheid is ongelooflijk krachtig, omdat de malwarebedreiging zonder toestemming van de gebruiker toegang kan krijgen tot de MercadoLibre- en MercadoPago-pagina's. De Chaes Malware kan ook screenshots maken van de geopende pagina's. Alle privégegevens die door Chase Malware worden verkregen, worden vervolgens geëxfiltreerd naar de Command-and-Control-infrastructuur van de aanvallers.