O recente trojan ‘Chaes’ está a impactar utilizadores de plataformas e-commerce na América Latina.

Os investigadores da Cybereason Nocturnus descobriram uma recente campanha direcionada a utilizadores da plataforma e-commerce “MercadoLivre” – uma grande plataforma de comércio eletrónico da  América Latina – via o malware recém identificado ‘Chaes’.

O malware Chaes foi identificado pela primeira vez em meados de 2020 por investigadores da Cybereason, e funciona com base em diversos estágios maliciosos.

chaes-malware-blog-image-1

 

Ele tem sido direcionado a utilizadores da plataforma e-commerce MercadoLivre, a maior empresa de comércio online da América Latina. Em 2019, mais de 320 milhões de utilizadores foram registados nessa plataforma.

As plataformas de comércio online têm sido um alvo favorito para os cibercriminosos, e o aumento acentuado do volume de compras online impulsionado pela pandemia COVID-19 tornou os ataques potencialmente ainda mais lucrativos.

According to data from the recent IBM U.S. Retail Index released in August of this year, “the pandemic has accelerated the shift away from physical stores to digital shopping by roughly five years,” and “e-commerce is projected to grow by nearly 20% in 2020” (TechCrunch).

 

Os investigadores observaram que as ameças na américa latina tem crescido e evoluido muito ao longo dos anos, com algumas das variantes de malware também ganhando destaque e popularidade, como p.ex., o Grandoreiro, Ursa e Astaroth.

The researchers noted that the Latin American cybercrime scene has evolved a great deal in recent years, with some of the more notorious malware variants gaining prominence in just the last year, including GrandoreiroUrsa and Astaroth

 

Chaes é escrito em várias linguagens de programação, incluindo Javascript, Vbscript, .NET, Delphi e Node.js. Os especialistas acreditam que o código malicioso está ainda em desenvolvimento. A cadeia de infeção começa com mensagens de phishing que usam um ficheiro .docx como chamariz, e uma vez aberto, dispara um ataque de injeção de template. O último estágio deste malware é escrito em node.js, e é responsável por exfiltrar os dados do computador da vítima.

 

O Chaes também pode tirar screenshots da máquina da vítima e exfiltrar detalhes guardados nos web-browsers. À imagem de outros trojans, p.ex., URSA, este também faz monitorização das páginas de Internet acedidas através do web-browser. Os investigadores observaram também que o malware vem equipado com um modulo para mineração de criptomoedas.

Tal como o URSA, a cadeia de ataque do Chaes é composta por várias etapas que incluem o uso de LoLbins e outro software legítimo para evitar a detecção por produtos antivírus.

 

Mais detalhes do malware e análise: https://www.cybereason.com/hubfs/dam/collateral/reports/11-2020-Chaes-e-commerce-malware-research.pdf