O malware persegue os clientes da maior plataforma de comércio eletrônico da América Latina
A nova cepa de malware está sendo implantada em ataques contra usuários do MercadoLivre.
Malwares previamente desconhecidos foram detectados em ataques generalizados contra clientes de comércio eletrônico na América Latina.
O malware, apelidado de Chaes pelos pesquisadores da Cybereason Nocturnus, está sendo implantado por um ator de ameaça em toda a região da LATAM para roubar informações financeiras.
Em uma postagem de blog na quarta-feira, a equipe de segurança cibernética disse que os clientes brasileiros da maior empresa de comércio eletrônico da área, o MercadoLivre, são o foco do malware infostealing.
Com sede em Buenos Aires, Argentina, o MercadoLivre opera um mercado online e uma plataforma de leilões. Em 2019, estima-se que 320,6 milhões de usuários foram registrados no gigante do comércio eletrônico.
Detectado pela primeira vez no final de 2020 pela Cybereason, o Chaes se espalha por meio de campanhas de phishing, nas quais e-mails afirmam que uma compra do MercadoLivre foi bem-sucedida. Para tentar aumentar a aparência de legitimidade do e-mail, os agentes da ameaça também anexaram uma nota de rodapé “verificado pelo Avast”.
As mensagens contêm um anexo de arquivo .docx malicioso. Assaf Dahan, Chefe de Pesquisa de Ameaças da Cybereason, disse à ZDNet que o anexo alavanca “uma técnica de injeção de modelo, usando o recurso integrado do Microsoft Word para buscar uma carga de um servidor remoto”.
Se a vítima clicar no arquivo, a vulnerabilidade será usada para estabelecer uma conexão com o servidor de comando e controle (C2) do invasor, bem como para baixar a primeira carga maliciosa, um arquivo .msi.
Esse arquivo então implanta um arquivo .vbs usado para executar outros processos, bem como uninstall.dll e engine.bin, que atuam como o “mecanismo” do malware. Um outro trio de arquivos – hhc.exe, hha.dll e chaes1.bin – são instalados para juntar os componentes principais do Chaes. Um módulo de mineração de criptomoeda também foi registrado.
O Chaes cria chaves de registro para manter a persistência do mecanismo principal do malware e implanta módulos disfarçados como processos legítimos para roubar informações do sistema, extrair informações confidenciais das sessões do navegador Google Chrome, colher credenciais de login para contas online e exfiltrar informações financeiras; em particular, quando o domínio MercadoLivre é visitado.
Digno de nota é a capacidade do Chaes de abrir uma sessão do Chrome. A atividade é monitorada e controlada por meio do hooking da API e da biblioteca Node.js Puppeteer. As páginas do MercadoLivre e do MercadoPago podem ser acessadas sem consentimento nas máquinas infectadas. O malware também é capaz de fazer screenshots das páginas visitadas do MercadoLivre e enviá-las para o C2.
“A parte alarmante desse malware baseado em node.js é o fato de que a maior parte desse comportamento é considerada normal, já que o uso da biblioteca Puppeteer para web scraping não é malicioso por natureza”, disse a equipe. “Portanto, detectar esses tipos de ameaças é muito mais desafiador.”
No entanto, Chaes parece estar em desenvolvimento ativo, já que as versões revisadas do malware são mais diretas ao direcionar as páginas do MercadoLivre relacionadas a compras de e-commerce.
A Cybereason está explorando se o malware está ou não sendo usado em campanhas contra outras empresas de comércio eletrônico e avisa que o Chaes pode indicar uma “possível tendência futura no uso da biblioteca Puppeteer para novos ataques em outras instituições financeiras importantes”.