Chaes Malware
Os pesquisadores identificaram uma novo tipo de malware implantado em uma campanha de ataque generalizada, visando usuários na região da América Latina. Denominado como Chaes, o malware atua como um infostealer que foi projetado para se concentrar principalmente nos usuários da maior entidade de comércio eletrônico da região, MercadoLibre. Estabelecido em 1999 e com sede em Buenos Aires, Argentina, o MercadoLibre tinha uma contagem de usuários estimada em mais de 320 milhões no final de 2019.
Os agentes de ameaça por trás do Chaes Malware estabeleceram uma cadeia de ataque complexa e de vários estágios para sua ameaça. A primeira etapa é disseminar a ameaça de malware por meio de e-mails de phishing que transportam documentos do Word como arma. Os emails têm a intenção de aparecer como se fossem enviados pelo MercadoLibre como uma confirmação de uma compra realizada anteriormente. Para aumentar ainda mais a pretensão de legitimidade, os e-mails trazem uma nota de rodapé informando que foram verificados por um aplicativo de segurança.
Quando o usuário aciona o documento do Word corrompido, isso resulta em uma carga útil de primeiro estágio sendo descartada na máquina comprometida por meio de uma técnica de injeção de modelo que estabelece uma conexão com a infraestrutura de comando e controle do invasor. Este componente inicial é responsável pela entrega subsequente de um arquivo .vbs, necessário para a execução de outros processos, e dos dois componentes que coordenam as atividades do Chaes Malware denominados 'uninstall.dll' e 'engine.bin'. Vários componentes ameaçadores também são implantados no sistema comprometido, incluindo um cripto mineiro.
Quando totalmente estabelecido, o Chase Malware possui uma grande variedade de recursos ameaçadores. A ameaça pode coletar informações do sistema, bem como dados confidenciais de sessões do Google Chrome, coletar credenciais de login e iniciar sessões Chome arbitrariamente. Essa capacidade é incrivelmente poderosa, pois a ameaça de malware pode acessar as páginas do MercadoLibre e MercadoPago sem o consentimento do usuário. O Chaes Malware também pode fazer capturas de tela das páginas abertas. Todos os dados privados obtidos pelo Chase Malware serão então exfiltrados para a infraestrutura de comando e controle dos invasores.
