Os investigadores da Cybereason Nocturnus descobriram uma recente campanha direcionada a utilizadores da plataforma e-commerce “MercadoLivre” – uma grande plataforma de comércio eletrónico da América Latina – via o malware recém identificado ‘Chaes’.
O malware Chaes foi identificado pela primeira vez em meados de 2020 por investigadores da Cybereason, e funciona com base em diversos estágios maliciosos.
Ele tem sido direcionado a utilizadores da plataforma e-commerce MercadoLivre, a maior empresa de comércio online da América Latina. Em 2019, mais de 320 milhões de utilizadores foram registados nessa plataforma.
As plataformas de comércio online têm sido um alvo favorito para os cibercriminosos, e o aumento acentuado do volume de compras online impulsionado pela pandemia COVID-19 tornou os ataques potencialmente ainda mais lucrativos.
According to data from the recent IBM U.S. Retail Index released in August of this year, “the pandemic has accelerated the shift away from physical stores to digital shopping by roughly five years,” and “e-commerce is projected to grow by nearly 20% in 2020” (TechCrunch).
Os investigadores observaram que as ameças na américa latina tem crescido e evoluido muito ao longo dos anos, com algumas das variantes de malware também ganhando destaque e popularidade, como p.ex., o Grandoreiro, Ursa e Astaroth.
The researchers noted that the Latin American cybercrime scene has evolved a great deal in recent years, with some of the more notorious malware variants gaining prominence in just the last year, including Grandoreiro, Ursa and Astaroth.
Chaes é escrito em várias linguagens de programação, incluindo Javascript, Vbscript, .NET, Delphi e Node.js. Os especialistas acreditam que o código malicioso está ainda em desenvolvimento. A cadeia de infeção começa com mensagens de phishing que usam um ficheiro .docx como chamariz, e uma vez aberto, dispara um ataque de injeção de template. O último estágio deste malware é escrito em node.js, e é responsável por exfiltrar os dados do computador da vítima.
O Chaes também pode tirar screenshots da máquina da vítima e exfiltrar detalhes guardados nos web-browsers. À imagem de outros trojans, p.ex., URSA, este também faz monitorização das páginas de Internet acedidas através do web-browser. Os investigadores observaram também que o malware vem equipado com um modulo para mineração de criptomoedas.
Tal como o URSA, a cadeia de ataque do Chaes é composta por várias etapas que incluem o uso de LoLbins e outro software legítimo para evitar a detecção por produtos antivírus.
Mais detalhes do malware e análise: https://www.cybereason.com/hubfs/dam/collateral/reports/11-2020-Chaes-e-commerce-malware-research.pdf
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.