在拉丁美洲,针对电子商务客户的广泛攻击中发现了以前不知名的恶意软件。
这种恶意软件被赛博eason Nightus的研究人员称为Chaes,被一个威胁参与者部署在拉坦地区窃取财务信息。
In周三,网络安全团队在一篇博客文章中称,该地区最大电子商务的巴西客户MercadoLivre公司是信息窃取恶意软件的焦点。
另请参见:Lazarus group通过LinkedIn招聘广告打击加密货币公司
总部位于阿根廷布宜诺斯艾利斯,MercadoLivre同时经营在线市场和拍卖平台。2019年,估计有3.206亿用户在这家电子商务巨头注册。
这家电子商务巨头于2020年底首次发现Chaes通过网络钓鱼活动传播,其中电子邮件声称MercadoLivre购买成功。为了增加电子邮件的合法性,威胁参与者还附加了一个“由Avast扫描”的脚注。
这些邮件包含一个恶意的.docx文件附件。Cybereason威胁研究负责人阿萨夫·达汉告诉ZDNet,该附件利用了“一种模板注入技术,利用Microsoft Word的内置功能从远程服务器获取有效负载。”
如果受害者单击该文件,该漏洞将用于与攻击者的指挥控制(C2)服务器建立连接,以及下载第一个恶意负载,.msi文件。
然后,此文件将部署一个.vbs文件,用于执行其他进程,以及卸载.dll以及发动机.bin,它们都充当了恶意软件的“引擎”hhc.exe, hha.dll和chaes1.bin——是将Chaes的主要组件缝合在一起的。还记录了一个加密货币挖掘模块。
CNET:强密码的规则行不通。以下是
Chaes创建注册表项以保持恶意软件主引擎的持久性,并将部署伪装成合法进程的模块,以便窃取系统信息、从Google Chrome浏览器会话中提取敏感信息、获取在线帐户的登录凭据,以及过滤财务信息;尤其是当访问MercadoLivre域时。
特别值得注意的是Chaes能够打开Chrome会话。通过API挂钩和节点.js图书馆傀儡。MercadoLivre和MercadoPago页面可以在未经同意的情况下在受感染的机器上访问。该恶意软件还可以截取所访问的MercadoLivre页面的截图,并将其发送到C2。
“这里面的报警部分节点.js-“基于恶意软件的事实是,大多数这种行为被认为是正常的,因为使用puppeter库进行网页抓取本质上不是恶意的,”该团队说因此,检测这类威胁更具挑战性。“
TechRepublic:黑客雇佣网络间谍活动的目标受害者
然而,Chaes似乎正在积极开发中,由于修订版的恶意软件更直接地针对与电子商务购买相关的MercadoLivre页面。
Cybereason目前正在调查是否有人在针对其他电子商务公司的活动中使用该恶意软件,并警告说,Chaes可能表明“未来可能会有利用puppeter库在其他主要金融机构进行进一步攻击的趋势。”
有什么建议吗?通过WhatsApp |信号安全联系,电话+447713 025 499,或访问Keybase:charlie0
