Threat Database Malware Chaes Malware

Chaes Malware

Los investigadores identificaron una nueva cepa de malware implementada en una campaña de ataque generalizada dirigida a usuarios en la región de América Latina. Con el nombre de Chaes, el malware actúa como un ladrón de información que ha sido diseñado para centrarse principalmente en los usuarios de la entidad de comercio electrónico más grande de la región, MercadoLibre. Establecido en 1999 y con sede en Buenos Aires, Argentina, MercadoLibre tenía un recuento estimado de usuarios de más de 320 millones a fines de 2019.

Los actores de amenazas detrás de Chaes Malware han establecido una compleja cadena de ataque de múltiples etapas para su amenaza. El primer paso es difundir la amenaza de malware a través de correos electrónicos de phishing que contienen documentos de Word armados. Los correos electrónicos deben aparecer como si fueran enviados por MercadoLibre como una confirmación de una compra realizada previamente. Para agregar aún más a la pretensión de legitimidad, los correos electrónicos llevan una nota al pie de página que indica que han sido escaneados por una aplicación de seguridad.

Cuando el usuario activa el documento de Word dañado, la carga útil de la primera etapa se cae en la máquina comprometida a través de una técnica de inyección de plantilla que establece una conexión con la infraestructura de comando y control del atacante. Este componente inicial es responsable de la entrega posterior de un archivo .vbs, que es necesario para la ejecución de otros procesos, y los dos componentes que coordinan las actividades de Chaes Malware llamados 'uninstall.dll' y 'engine.bin'. Varios componentes amenazantes también se implementan en el sistema comprometido, incluido un cripto minero.

Cuando está completamente establecido, Chase Malware posee una gran variedad de capacidades amenazantes. La amenaza puede recopilar información del sistema, así como datos confidenciales de las sesiones de Google Chrome, recopilar credenciales de inicio de sesión e iniciar sesiones de Chome de forma arbitraria. Esta capacidad es increíblemente poderosa, ya que la amenaza de malware puede acceder a las páginas de MercadoLibre y MercadoPago sin el consentimiento del usuario. El Chaes Malware también puede tomar capturas de pantalla de las páginas abiertas. Todos los datos privados obtenidos por Chase Malware serán luego exfiltrados a la infraestructura de Comando y Control de los atacantes.

Tendencias

Mas Visto

Cargando...