Ερευνητές ασφαλείας της Cybereason Nocturnus ανακάλυψαν ένα νέο malware, που έχει χρησιμοποιηθεί σε πολλές επιθέσεις με στόχο τους πελάτες της μεγαλύτερης πλατφόρμας ηλεκτρονικού εμπορίου της Λατινικής Αμερικής. Οι ερευνητές ονόμασαν το malware “Chaes” και είπαν ότι χρησιμοποιείται, κυρίως, για την κλοπή οικονομικών πληροφοριών.
Οι ερευνητές δήλωσαν ότι βασικός στόχος του Chaes malware είναι οι Βραζιλιάνοι πελάτες της μεγαλύτερης εταιρείας ηλεκτρονικού εμπορίου της περιοχής, MercadoLivre. Η MercadoLivre έχει την έδρα της στο Μπουένος Άιρες της Αργεντινής και λειτουργεί μια online πλατφόρμα ηλεκτρονικού εμπορίου αλλά και μια πλατφόρμα δημοπρασιών.
To malware στοχεύει το βραζιλιάνικό site της εταιρείας και τη σελίδα πληρωμών MercadoPago για να κλέψει τα οικονομικά στοιχεία των πελατών. Το τελικό payload του Chaes είναι ένα Node.Js information stealer που κλέβει δεδομένα.
Οι ερευνητές ανακάλυψαν πρόσφατα το Chaes malware και παρατήρησαν ότι διανέμεται, κυρίως, μέσω phishing emails, τα οποία λένε στα θύματα ότι η αγορά τους από την πλατφόρμα MercadoLivre ήταν επιτυχής. Για να είναι πιο πειστικό το μήνυμα και να φαίνεται πιο νόμιμο, οι hackers επισυνάπτουν και μια υποσημείωση που λέει “ότι έχει γίνει σάρωση από την Avast”.
Τα phishing emails περιέχουν ένα κακόβουλο συνημμένο αρχείο .docx. Ο Assaf Dahan, επικεφαλής της έρευνας στη Cybereason, είπε ότι το συνημμένο αξιοποιεί “μια τεχνική template injection, χρησιμοποιώντας την ενσωματωμένη δυνατότητα του Microsoft Word για λήψη payload από έναν απομακρυσμένο server”.
Εάν ένα θύμα κάνει κλικ στο αρχείο, χρησιμοποιείται η ευπάθεια για τη δημιουργία σύνδεσης με τον command-and-control (C2) server του επιτιθέμενου, καθώς και για τη λήψη του πρώτου κακόβουλου payload, που είναι ένα αρχείο .msi.
Αυτό το αρχείο αναπτύσσει ένα αρχείο .vbs (το οποίο χρησιμοποιείται για την εκτέλεση άλλων διαδικασιών), καθώς και το uninstall.dll και το engine.bin, που λειτουργούν ως “μηχανή” του κακόβουλου λογισμικού. Επίσης, γίνεται εγκατάσταση τριών άλλων αρχείων, των hhc.exe, hha.dll και chaes1.bin, που συνδυάζουν τα κύρια στοιχεία του Chaes malware. Οι ερευνητές εντόπισαν, επίσης, ένα cryptocurrency mining module.
Το Chaes malware αναπτύσσει modules που εμφανίζονται ως νόμιμες διαδικασίες, προκειμένου να κλέψει πληροφορίες συστήματος, να εξαγάγει ευαίσθητες πληροφορίες από τα Google Chrome browser sessions, να συλλέξει credentials για λογαριασμούς και να κλέψει οικονομικά στοιχεία.
Οι ερευνητές έδωσαν ιδιαίτερη έμφαση στη δυνατότητα του Chaes malware να ανοίγει ένα Chrome session. Η δραστηριότητα παρακολουθείται και ελέγχεται μέσω της τεχνικής API hooking και του Node.js library Puppeteer. Το Chaes malware μπορεί, επίσης, να τραβήξει screenshots των σελίδων της MercadoLivre που επισκέφτηκαν τα θύματα, και να τα στείλει στο C2.
“Το ανησυχητικό σε αυτό το node.js-based malware είναι το γεγονός ότι το μεγαλύτερο μέρος αυτής της συμπεριφοράς θεωρείται φυσιολογικό, καθώς η χρήση της βιβλιοθήκης Puppeteer για web scraping δεν είναι κακόβουλη από τη φύση της“, λέει η ερευνητική ομάδα. “Επομένως, η ανίχνευση τέτοιων απειλών είναι πολύ πιο δύσκολη“.
Ωστόσο, το Chaes φαίνεται να βρίσκεται υπό ανάπτυξη, καθώς έχουν εντοπιστεί και αναθεωρημένες εκδόσεις που στοχεύουν πιο άμεσα MercadoLivre σελίδες που σχετίζονται με αγορές ηλεκτρονικού εμπορίου.
Οι ερευνητές της Cybereason ελέγχουν αν το Chaes malware χρησιμοποιείται σε επιθέσεις και σε άλλες πλατφόρμες ηλεκτρονικού εμπορίου και προειδοποιούν για μια “πιθανή μελλοντική τάση στη χρήση της βιβλιοθήκης Puppeteer για περαιτέρω επιθέσεις σε μεγάλα χρηματοπιστωτικά ιδρύματα”.
Πηγή: ZDNet