Chase Malware se dirige a los usuarios de comercio electrónico para robar datos confidenciales

Chaes, Investigadores encontraron una nueva cepa de malware dirigida a clientes de comercio electrónico en América Latina.. El nuevo malware es un ladrón de datos que utiliza el ataque de phishing como vector inicial y difunde un documento malicioso. Esto luego se usa para instalar una carga útil, que invita a otros módulos a comprometer el sistema de destino y espiar la actividad del usuario.

Nuevo malware que roba datos de sitios de comercio electrónico

Investigadores en Cybereason Nocturnus tener documentado sobre un nuevo malware llamado Chaes, que está explorando recursos legítimos para robar datos confidenciales de los sistemas de los usuarios en América Latina. Se ve específicamente como un objetivo para los usuarios de MercadoLivre, con sede en América Latina.

O Mercado libre es la empresa de comercio electrónico más grande con sede en Buenos Aires, Argentina, y tiene cientos de millones de usuarios registrados en su plataforma. Los investigadores descubrieron Chaes a fines de 2020, que se propagaba a través de correos electrónicos de phishing como todos los demás. Está difundiendo un documento malicioso (.docx).

Los agentes de amenazas incluso definieron una nota al pie «escaneada por Avast» en el documento para hacerlo más legítimo. Los investigadores dijeron que el documento usa Capacidad integrada de Microsoft Word para comprar una carga útil desde un servidor remoto, como técnica de inyección de modelos. Por lo tanto, hacer clic en el archivo establecería una conexión con el C2 del atacante.

Esto continúa trayendo una carga útil maliciosa en términos del archivo .msi, que a su vez obtiene una .vbs Expediente. Esto se usa para ejecutar otros procesos y traer uninstall.dll y engine.bin, que actúa como «motor» del malware. La adquisición de cargas útiles continúa a medida que tres archivos más hhc.exe, hha.dll y chaes1.bin están configurados para coincidir con los componentes principales de los Chaes.

Además de todo esto, Los investigadores notaron un módulo de minería de criptomonedas también. El malware también crea claves de registro para obtener un control de persistencia para el motor de malware.

Luego, implementará otros módulos para sus propósitos reales de robo de información del sistema, recopilación de credenciales de inicio de sesión para cuentas en línea, extracción de datos confidenciales de las sesiones del navegador Google Chrome y extracción de datos financieros, como el del dominio MercadoLivre cuando los usuarios visitan.

Los investigadores también analizan la capacidad de Chaes para monitorear la actividad del usuario a través de una biblioteca Node.js llamada Puppeteer. Esto permitirá a los atacantes acceder a las páginas de MercadoLivre y MercadoPago sin la interacción del usuario. Además, se informa que toma capturas de pantalla de las páginas de MercadoLivre cuando las visita y las envía al C2 del atacante.