Chase Malware cible les utilisateurs du commerce électronique pour voler des données sensibles

0


Chaes une nouvelle souche de malware a été découverte par des chercheurs ciblant les clients du commerce électronique en Amérique latine . Le nouveau malware est un voleur de données, qui utilise une attaque de phishing comme vecteur initial et propage un document malveillant. Ceci est ensuite utilisé pour installer une charge utile, qui invite en outre d'autres modules à compromettre le système cible et à espionner l'activité des utilisateurs.

Nouveau logiciel malveillant volant des données sur des sites de commerce électronique

Des chercheurs de Cybereason Nocturnus ont documenté sur un nouveau malware appelé Chaes qui exploite des fonctionnalités légitimes pour voler des données sensibles aux systèmes d'utilisateurs en Amérique latine. Il cible spécifiquement les utilisateurs de MercadoLivre, basés en Amérique latine.

Le MercadoLivre est la plus grande entreprise de commerce électronique basée à Buenos Aires, en Argentine, et compte des centaines de millions d'utilisateurs enregistrés sur sa plateforme. Les chercheurs ont d'abord découvert Chaes à la fin de 2020, qui se propageait à travers les e-mails de phishing comme tout le monde. Il a été détecté en train de diffuser un document malveillant (.docx).

Les acteurs de la menace ont même mis une note de bas de page «numérisée par Avast» sur le document pour le rendre plus légitime. Les chercheurs ont déclaré que le document utilise la fonctionnalité intégrée de Microsoft Word pour obtenir une charge utile à partir d’un serveur distant comme technique d’injection de modèles. Ainsi, en cliquant sur le fichier, cela établirait une connexion avec le C2 de l’attaquant.

Cela continue d'apporter une charge utile malveillante en termes de fichier .msi, qui à son tour obtient un fichier .vbs . Il permet d’exécuter d’autres processus et d’apporter uninstall.dll et engine.bin qui agissent comme le «moteur» du malware. L'acquisition des charges utiles se poursuit alors que trois autres fichiers tels que hhc.exe, hha.dll et chaes1.bin sont configurés pour combiner les principaux composants de Chaes.

En plus de tout cela, les chercheurs ont noté un module d'extraction de crypto-monnaie également . Le logiciel malveillant crée également des clés de registre pour contrôler la persistance du moteur du logiciel malveillant.

Il déploiera ensuite d'autres modules pour ses besoins réels de voler les informations système, récolter les identifiants de connexion pour les comptes en ligne, extraire des données sensibles des sessions du navigateur Google Chrome et exfiltrer des données financières comme celle de MercadoLivre. domaine lorsque les utilisateurs visitent.

Les chercheurs notent également la capacité de Chaes à surveiller l'activité des utilisateurs via une bibliothèque Node.js appelée Puppeteer. Cela permettra aux attaquants d'accéder aux pages MercadoLivre et MercadoPago sans interaction des utilisateurs. De plus, il aurait pris des captures d'écran des pages MercadoLivre lors de leur visite et les aurait envoyées au C2 de l'attaquant.

Leave A Reply

Your email address will not be published.