Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine neue Untersuchung des Cybereason Nocturnus-Teams vor. Die Forscher haben eine aktive Kampagne identifiziert, die sich mit einer neuen, mehrstufigen Malware gegen die Kunden einer großen E-Commerce-Plattform richtet.

Die Malware namens „Chaes“ umgeht herkömmliche Antiviren-Lösungen und wurde entwickelt, um vertrauliche Kundeninformationen wie Zugangsdaten, Kreditkartennummern und andere Finanzinformationen abzuziehen. 

E-Commerce-Plattformen sind ein bevorzugtes Ziel von Cyberkriminellen, und das durch die Covid-19-Pandemie stark gestiegene Volumen beim Online-Shopping hat Angriffe potenziell noch profitabler gemacht. Laut der Daten des im August dieses Jahres veröffentlichten IBM U.S. Retail Index "hat die Pandemie die Verlagerung des Einkaufs von physischen Ladengeschäften hin zum digitalen Einkauf um etwa fünf Jahre beschleunigt", und "der E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen" (TechCrunch).

Bedrohungsakteure

Das Cybereason Nocturnus-Team hat Bedrohungsakteure aufgespürt, die eine bislang unbekannte Malware namens Chaes einsetzen. Ziel sind in erster Linie brasilianische Kunden des größten lateinamerikanischen E-Commerce-Unternehmens, MercadoLivre. Dabei stellten die Forscher fest, dass sich die lateinamerikanische Cybercrime-Szene in den letzten Jahren stark weiterentwickelt hat. Zu den berühmt-berüchtigten Malware-Programmen, die gerade im letzten Jahr aufgetreten sind, zählen Grandoreiro, Ursa und Astaroth. 

Die Cyberkriminalität in LATAM weist einige typische Eigenheiten hinsichtlich der TTPs auf. Ähnliches gilt für die Möglichkeiten, wie sich eine Malware auf einem infizierten Computer weiterverbreitet. Zu diesen Trends gehört die Verwendung von .MSI-Dateien als erste Möglichkeit, die Infektionskette zu starten, Delphi als bevorzugte Sprache für die Codierung der Malware, die weitreichende Nutzung von LOLBins zur Ausführung von Inhalten und das Herunterladen zusätzlicher legitimer Tools, um die Funktionen der Malware zu erweitern und die Tarnung soweit wie möglich zu perfektionieren.

Die wichtigsten Ergebnisse auf einen Blick

  • Ziel der Malware ist das größte E-Commerce-Unternehmen in Lateinamerika: Chaes richtet sich speziell gegen die brasilianische Website des E-Commerce-Unternehmens MercadoLivre und deren Seite zur Zahlungsabwicklung, MercadoPago. Ziel ist es, Finanzdaten der Kunden in großem Umfang abzugreifen. Die eigentliche Payload bildet ein Node.Js Information Stealer, der die Daten mithilfe des Node-Prozesses abzieht.
  • Diebstahl von Zugangsdaten, Erfassung von Bildschirminhalten, Browser-Überwachung und weiteres Auskundschaften: Chaes wurde entwickelt, um sensible Informationen aus dem Browser zu stehlen. Dazu zählen Zugangsdaten/Anmeldeinformationen, Kreditkartennummern und andere Finanzinformationen von Kunden der MercadoLivre-Webseite. Chaes erstellt zusätzlich Screenshots der infizierten Rechner, koppelt sich an den Chrome-Browser und überwacht diesen, um Benutzerinformationen von infizierten Hosts zu sammeln.
  • Mehrstufige Bereitstellung, Multi-Language Malware: Chaes-Infektionen bestehen aus mehreren Stufen, welche die Verwendung von LoLbins und anderer legitimer Software einschließen. Dies macht die Erkennung durch herkömmliche Antiviren-Lösungen sehr schwierig. Des weiteren ist Chaes in unterschiedlichen Programmiersprachen geschrieben, darunter Javascript, Vbscript, .NET, Delphi und Node.js.
  • Lädt legitime Software herunter und wurde so entwickelt, um möglichst beständig zu sein: Chaes nutzt legitime Tools wie Python, Unrar und Node.js. Die funktionalen Stufen bedienen sich verschiedener Techniken und verwenden dabei sowohl LoLbins als auch Open Source Tools, dateilose Aktivitäten und legitime Node.js-Bibliotheken, was dafür sorgen soll, dass sich die Malware besonders beständig einnistet.

Lior Div, Mitgründer und CEO von Cybereason: "Bedrohungsakteure investieren sehr viel Zeit, Ressourcen und Aufwand in die Auswahl ihrer Ziele, wenn es um kriminelle Operationen wie diese geht. Dabei steht die Rentabilität der Investitionen immer im Vordergrund. Zweifelsohne ist den Angreifern der dramatische Anstieg von Transaktionen beim Online Shopping nicht entgangen. Da ist es wenig überraschend, dass neue und immer raffinierter werdende Malware-Varianten auftauchen, die sich die aktuellen Umstände zunutze machen. Deshalb sollte jeder Einzelne beim Thema Cyberhygiene wachsam sein. Allein, um Malware-Angriffe grundsätzlich zu vermeiden. 

Besondere Aufmerksamkeit ist beim Online Shopping und Online-Banking geboten, wenn man nicht ins Visier von Angreifern geraten will, die sich die Auswirkungen der Pandemie und den Anstieg bei finanziellen Online-Transaktionen zunutze machen.

Der komplette Report unter dem Titel „Chaes: Novel Malware Targeting Latin American E-Commerce“ steht Ihnen hier zum Herunterladen zur Verfügung. 

www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Nov 16, 2020

Phishing-Angriffe steigen durch COVID-19 um 220 Prozent

Die COVID-19-Pandemie führt weiterhin zu deutlich verstärkten Phishing- und…
OnlinePaymentFraud
Nov 11, 2020

Coronakrise lässt Betrug mit digitalen Zahlungsmitteln explodieren

COVID-19 hat mit Lockdown und Social Distancing nicht nur dem E-Commerce Auftrieb gegeben…
CyberSecurity
Nov 07, 2020

The New Normal in Cybersecurity

Ungepatchte Schwachstellen, Verschleierungstaktiken und APTs (Advanced Persistent…

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!