Threat Database Malware Malware Chaes

Malware Chaes

Les chercheurs ont identifié une nouvelle souche de logiciels malveillants déployée dans une campagne d'attaque généralisée ciblant les utilisateurs de la région d'Amérique latine. Nommé Chaes, le malware agit comme un infostealer conçu pour se concentrer principalement sur les utilisateurs de la plus grande entité de commerce électronique de la région, MercadoLibre. Fondée en 1999 et basée à Buenos Aires, en Argentine, MercadoLibre comptait un nombre d'utilisateurs estimé à plus de 320 millions à la fin de 2019.

Les acteurs de la menace derrière le Chaes Malware ont établi une chaîne d'attaque complexe et en plusieurs étapes pour leur menace. La première étape consiste à diffuser la menace des logiciels malveillants via des e-mails de phishing contenant des documents Word militarisés. Les e-mails sont destinés à apparaître comme s'ils étaient envoyés par MercadoLibre en tant que confirmation d'un achat précédemment effectué. Pour ajouter encore à la prétention de légitimité, les e-mails comportent une note de bas de page indiquant qu'ils ont été scannés par une application de sécurité.

Lorsque l'utilisateur déclenche le document Word corrompu, cela entraîne la suppression d'une charge utile de première étape sur la machine compromise via une technique d'injection de modèle qui établit une connexion avec l'infrastructure de commande et de contrôle de l'attaquant. Ce composant initial est responsable de la livraison ultérieure d'un fichier .vbs, qui est requis pour l'exécution d'autres processus, et des deux composants qui coordonnent les activités de Chaes Malware nommés «uninstall.dll» et «engine.bin». Plusieurs composants menaçants sont également déployés sur le système compromis, y compris un crypto mineur.

Une fois pleinement établi, le Chase Malware possède un large éventail de capacités menaçantes. La menace peut récolter des informations système, ainsi que des données sensibles des sessions Google Chrome, collecter des informations de connexion et démarrer de manière arbitraire des sessions Chome. Cette capacité est incroyablement puissante, car la menace de malware peut accéder aux pages MercadoLibre et MercadoPago sans le consentement de l'utilisateur. Le Malware Chaes peut également prendre des captures d'écran des pages ouvertes. Toutes les données privées obtenues par Chase Malware seront ensuite exfiltrées vers l'infrastructure de Command-and-Control des attaquants.

Tendance

Le plus regardé

Chargement...