Se ha desplegado un nuevo malware en una campaña dirigida a clientes de comercio electrónico en Latinoamérica. Apodado Chaes, la amenaza descubierta es un malware de varias etapas diseñado para recopilar datos confidenciales, como credenciales de inicio de sesión, números de tarjetas de crédito y otra información financiera.
Según los investigadores de Cybereason Nocturnus, la campaña de robo de información se centra principalmente en los clientes de la empresa de comercio electrónico más grande de América Latina, MercadoLibre (sitio brasileño).
“La escena de la ciberdelincuencia en América Latina ha evolucionado mucho en los últimos años, y algunas de las variantes de malware más notorias han ganado prominencia en el último año, como Grandoreiro, Ursa y Astaroth”, señalaron los investigadores.
Chaes apunta específicamente al sitio web brasileño de la empresa de comercio electrónico MercadoLivre.com.br y su página de pago MercadoPago para robar la información financiera de sus clientes. La carga útil final de Chaes es un ladrón de información de Node.Js que extrae datos mediante el proceso de nodo.
Chaes se distribuye a través de correos electrónicos de phishing que notifican a los usuarios que una compra en MercadoLivre ha sido exitosa. Al abrir un mensaje, se establece una conexión con el servidor de comando y control (C2) del atacante y se descarga la primera carga útil maliciosa, un archivo .msi. Este archivo, a su vez, despliega el archivo invisible.vbs utilizado para ejecutar otros procesos, así como uninstall.dll y engine.bin, que actúan como el "motor" del malware que descarga contenido adicional y mantiene su punto de apoyo en la máquina infectada.
Chaes está diseñado para robar información confidencial del navegador, como credenciales de inicio de sesión, números de tarjetas de crédito y otra información financiera de los clientes del sitio web de MercadoLivre. El malware también puede tomar capturas de pantalla de la máquina infectada, conectar y monitorear el navegador web Chrome para recopilar datos del usuario de los hosts infectados.
“La entrega de Chaes consta de varias etapas que incluyen el uso de LoLbins y otro software legítimo, lo que hace que sea muy difícil de detectar por los productos AV tradicionales. Chaes también tiene múltiples etapas y está escrito en varios lenguajes de programación, incluidos Javascript, Vbscript, .NET, Delphi y Node.js ”, dijeron los investigadores.
También señalaron que Chaes parece estar en desarrollo activo, y sus creadores equiparon regularmente el malware con nuevas capacidades.
https://www.cybereason.com/hubfs/dam/collateral/reports/11-2020-Chaes-e-commerce-malware-research.pdf
