Chaes Malware
Die Forscher identifizierten eine neue Art von Malware, die in einer weit verbreiteten Angriffskampagne gegen Benutzer in der Region Lateinamerika eingesetzt wurde. Die Malware mit dem Namen Chaes fungiert als Infostealer, der sich hauptsächlich an die Benutzer des größten E-Commerce-Unternehmens der Region, MercadoLibre, richtet. MercadoLibre wurde 1999 gegründet und hat seinen Hauptsitz in Buenos Aires, Argentinien. Ende 2019 hatte MercadoLibre eine geschätzte Benutzerzahl von über 320 Millionen.
Die Bedrohungsakteure hinter der Chaes Malware haben eine komplexe, mehrstufige Angriffskette für ihre Bedrohung eingerichtet. Der erste Schritt besteht darin, die Malware-Bedrohung durch Phishing-E-Mails mit waffenfähigen Word-Dokumenten zu verbreiten. Die E-Mails sollen so aussehen, als würden sie von MercadoLibre als Bestätigung eines zuvor getätigten Kaufs gesendet. Um den Anspruch auf Legitimität weiter zu verstärken, enthalten die E-Mails eine Fußnote, aus der hervorgeht, dass sie von einer Sicherheitsanwendung gescannt wurden.
Wenn der Benutzer das beschädigte Word-Dokument auslöst, wird eine Nutzlast der ersten Stufe auf dem gefährdeten Computer durch eine Template-Injection-Technik geliefert, die eine Verbindung mit der Command-and-Control-Infrastruktur des Angreifers herstellt. Diese Anfangskomponente ist für die spätere Übermittlung einer .vbs-Datei verantwortlich, die für die Ausführung anderer Prozesse erforderlich ist, sowie für die beiden Komponenten, die die Aktivitäten von Chaes Malware mit den Namen "uninstall.dll" und "engine.bin" koordinieren. Auf dem gefährdeten System werden auch mehrere bedrohliche Komponenten bereitgestellt, darunter ein Crypto Miner.
Wenn die Chase-Malware vollständig eingerichtet ist, verfügt sie über eine Vielzahl von Bedrohungsfunktionen. Die Bedrohung kann Systeminformationen sowie vertrauliche Daten aus Google Chrome-Sitzungen sammeln, Anmeldeinformationen sammeln und Chome-Sitzungen willkürlich starten. Diese Funktion ist unglaublich leistungsfähig, da die Malware-Bedrohung ohne Zustimmung des Benutzers auf die Seiten MercadoLibre und MercadoPago zugreifen kann. Die Chaes Malware kann auch Screenshots der geöffneten Seiten erstellen. Alle von Chase Malware erhaltenen privaten Daten werden dann in die Command-and-Control-Infrastruktur der Angreifer übertragen.
