Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine neue Untersuchung des Cybereason Nocturnus-Teams vor. Die Forscher haben eine aktive Kampagne identifiziert, die sich mit einer neuen, mehrstufigen Malware gegen die Kunden einer großen E-Commerce-Plattform richtet.
Die Malware namens „Chaes“ umgeht herkömmliche Antiviren-Lösungen und wurde entwickelt, um vertrauliche Kundeninformationen wie Zugangsdaten, Kreditkartennummern und andere Finanzinformationen abzuziehen.
E-Commerce-Plattformen sind ein bevorzugtes Ziel von Cyberkriminellen, und das durch die Covid-19-Pandemie stark gestiegene Volumen beim Online-Shopping hat Angriffe potenziell noch profitabler gemacht. Laut der Daten des im August dieses Jahres veröffentlichten IBM U.S. Retail Index „hat die Pandemie die Verlagerung des Einkaufs von physischen Ladengeschäften hin zum digitalen Einkauf um etwa fünf Jahre beschleunigt“, und „der E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen“ (TechCrunch).
Bedrohungsakteure
Das Cybereason Nocturnus-Team hat Bedrohungsakteure aufgespürt, die eine bislang unbekannte Malware namens Chaes einsetzen. Ziel sind in erster Linie brasilianische Kunden des größten lateinamerikanischen E-Commerce-Unternehmens, MercadoLivre. Dabei stellten die Forscher fest, dass sich die lateinamerikanische Cybercrime-Szene in den letzten Jahren stark weiterentwickelt hat. Zu den berühmt-berüchtigten Malware-Programmen, die gerade im letzten Jahr aufgetreten sind, zählen Grandoreiro, Ursa und Astaroth.
Die Cyberkriminalität in LATAM weist einige typische Eigenheiten hinsichtlich der TTPs auf. Ähnliches gilt für die Möglichkeiten, wie sich eine Malware auf einem infizierten Computer weiterverbreitet. Zu diesen Trends gehört die Verwendung von .MSI-Dateien als erste Möglichkeit, die Infektionskette zu starten, Delphi als bevorzugte Sprache für die Codierung der Malware, die weitreichende Nutzung von LOLBins zur Ausführung von Inhalten und das Herunterladen zusätzlicher legitimer Tools, um die Funktionen der Malware zu erweitern und die Tarnung soweit wie möglich zu perfektionieren.
Die wichtigsten Ergebnisse auf einen Blick
- Ziel der Malware ist das größte E-Commerce-Unternehmen in Lateinamerika: Chaes richtet sich speziell gegen die brasilianische Website des E-Commerce-Unternehmens MercadoLivre und deren Seite zur Zahlungsabwicklung, MercadoPago. Ziel ist es, Finanzdaten der Kunden in großem Umfang abzugreifen. Die eigentliche Payload bildet ein Node.Js Information Stealer, der die Daten mithilfe des Node-Prozesses abzieht.
- Diebstahl von Zugangsdaten, Erfassung von Bildschirminhalten, Browser-Überwachung und weiteres Auskundschaften: Chaes wurde entwickelt, um sensible Informationen aus dem Browser zu stehlen. Dazu zählen Zugangsdaten/Anmeldeinformationen, Kreditkartennummern und andere Finanzinformationen von Kunden der MercadoLivre-Webseite. Chaes erstellt zusätzlich Screenshots der infizierten Rechner, koppelt sich an den Chrome-Browser und überwacht diesen, um Benutzerinformationen von infizierten Hosts zu sammeln.
- Mehrstufige Bereitstellung, Multi-Language Malware: Chaes-Infektionen bestehen aus mehreren Stufen, welche die Verwendung von LoLbins und anderer legitimer Software einschließen. Dies macht die Erkennung durch herkömmliche Antiviren-Lösungen sehr schwierig. Des weiteren ist Chaes in unterschiedlichen Programmiersprachen geschrieben, darunter Javascript, Vbscript, .NET, Delphi und Node.js.
- Lädt legitime Software herunter und wurde so entwickelt, um möglichst beständig zu sein: Chaes nutzt legitime Tools wie Python, Unrar und Node.js. Die funktionalen Stufen bedienen sich verschiedener Techniken und verwenden dabei sowohl LoLbins als auch Open Source Tools, dateilose Aktivitäten und legitime Node.js-Bibliotheken, was dafür sorgen soll, dass sich die Malware besonders beständig einnistet.
Lior Div, Mitgründer und CEO von Cybereason: „Bedrohungsakteure investieren sehr viel Zeit, Ressourcen und Aufwand in die Auswahl ihrer Ziele, wenn es um kriminelle Operationen wie diese geht. Dabei steht die Rentabilität der Investitionen immer im Vordergrund. Zweifelsohne ist den Angreifern der dramatische Anstieg von Transaktionen beim Online Shopping nicht entgangen. Da ist es wenig überraschend, dass neue und immer raffinierter werdende Malware-Varianten auftauchen, die sich die aktuellen Umstände zunutze machen. Deshalb sollte jeder Einzelne beim Thema Cyberhygiene wachsam sein. Allein, um Malware-Angriffe grundsätzlich zu vermeiden.
Besondere Aufmerksamkeit ist beim Online Shopping und Online-Banking geboten, wenn man nicht ins Visier von Angreifern geraten will, die sich die Auswirkungen der Pandemie und den Anstieg bei finanziellen Online-Transaktionen zunutze machen.
Der komplette Report unter dem Titel „Chaes: Novel Malware Targeting Latin American E-Commerce“ steht Ihnen hier zum Herunterladen zur Verfügung.
www.cybereason.com