Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine neue Untersuchung des Cybereason Nocturnus-Teams vor. Die Forscher haben eine aktive Kampagne identifiziert, die sich mit einer neuen, mehrstufigen Malware gegen die Kunden einer großen E-Commerce-Plattform richtet.

Die Malware namens „Chaes“ umgeht herkömmliche Antiviren-Lösungen und wurde entwickelt, um vertrauliche Kundeninformationen wie Zugangsdaten, Kreditkartennummern und andere Finanzinformationen abzuziehen. 

E-Commerce-Plattformen sind ein bevorzugtes Ziel von Cyberkriminellen, und das durch die Covid-19-Pandemie stark gestiegene Volumen beim Online-Shopping hat Angriffe potenziell noch profitabler gemacht. Laut der Daten des im August dieses Jahres veröffentlichten IBM U.S. Retail Index "hat die Pandemie die Verlagerung des Einkaufs von physischen Ladengeschäften hin zum digitalen Einkauf um etwa fünf Jahre beschleunigt", und "der E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen" (TechCrunch).

Bedrohungsakteure

Das Cybereason Nocturnus-Team hat Bedrohungsakteure aufgespürt, die eine bislang unbekannte Malware namens Chaes einsetzen. Ziel sind in erster Linie brasilianische Kunden des größten lateinamerikanischen E-Commerce-Unternehmens, MercadoLivre. Dabei stellten die Forscher fest, dass sich die lateinamerikanische Cybercrime-Szene in den letzten Jahren stark weiterentwickelt hat. Zu den berühmt-berüchtigten Malware-Programmen, die gerade im letzten Jahr aufgetreten sind, zählen Grandoreiro, Ursa und Astaroth. 

Die Cyberkriminalität in LATAM weist einige typische Eigenheiten hinsichtlich der TTPs auf. Ähnliches gilt für die Möglichkeiten, wie sich eine Malware auf einem infizierten Computer weiterverbreitet. Zu diesen Trends gehört die Verwendung von .MSI-Dateien als erste Möglichkeit, die Infektionskette zu starten, Delphi als bevorzugte Sprache für die Codierung der Malware, die weitreichende Nutzung von LOLBins zur Ausführung von Inhalten und das Herunterladen zusätzlicher legitimer Tools, um die Funktionen der Malware zu erweitern und die Tarnung soweit wie möglich zu perfektionieren.

Die wichtigsten Ergebnisse auf einen Blick

  • Ziel der Malware ist das größte E-Commerce-Unternehmen in Lateinamerika: Chaes richtet sich speziell gegen die brasilianische Website des E-Commerce-Unternehmens MercadoLivre und deren Seite zur Zahlungsabwicklung, MercadoPago. Ziel ist es, Finanzdaten der Kunden in großem Umfang abzugreifen. Die eigentliche Payload bildet ein Node.Js Information Stealer, der die Daten mithilfe des Node-Prozesses abzieht.
  • Diebstahl von Zugangsdaten, Erfassung von Bildschirminhalten, Browser-Überwachung und weiteres Auskundschaften: Chaes wurde entwickelt, um sensible Informationen aus dem Browser zu stehlen. Dazu zählen Zugangsdaten/Anmeldeinformationen, Kreditkartennummern und andere Finanzinformationen von Kunden der MercadoLivre-Webseite. Chaes erstellt zusätzlich Screenshots der infizierten Rechner, koppelt sich an den Chrome-Browser und überwacht diesen, um Benutzerinformationen von infizierten Hosts zu sammeln.
  • Mehrstufige Bereitstellung, Multi-Language Malware: Chaes-Infektionen bestehen aus mehreren Stufen, welche die Verwendung von LoLbins und anderer legitimer Software einschließen. Dies macht die Erkennung durch herkömmliche Antiviren-Lösungen sehr schwierig. Des weiteren ist Chaes in unterschiedlichen Programmiersprachen geschrieben, darunter Javascript, Vbscript, .NET, Delphi und Node.js.
  • Lädt legitime Software herunter und wurde so entwickelt, um möglichst beständig zu sein: Chaes nutzt legitime Tools wie Python, Unrar und Node.js. Die funktionalen Stufen bedienen sich verschiedener Techniken und verwenden dabei sowohl LoLbins als auch Open Source Tools, dateilose Aktivitäten und legitime Node.js-Bibliotheken, was dafür sorgen soll, dass sich die Malware besonders beständig einnistet.

Lior Div, Mitgründer und CEO von Cybereason: "Bedrohungsakteure investieren sehr viel Zeit, Ressourcen und Aufwand in die Auswahl ihrer Ziele, wenn es um kriminelle Operationen wie diese geht. Dabei steht die Rentabilität der Investitionen immer im Vordergrund. Zweifelsohne ist den Angreifern der dramatische Anstieg von Transaktionen beim Online Shopping nicht entgangen. Da ist es wenig überraschend, dass neue und immer raffinierter werdende Malware-Varianten auftauchen, die sich die aktuellen Umstände zunutze machen. Deshalb sollte jeder Einzelne beim Thema Cyberhygiene wachsam sein. Allein, um Malware-Angriffe grundsätzlich zu vermeiden. 

Besondere Aufmerksamkeit ist beim Online Shopping und Online-Banking geboten, wenn man nicht ins Visier von Angreifern geraten will, die sich die Auswirkungen der Pandemie und den Anstieg bei finanziellen Online-Transaktionen zunutze machen.

Der komplette Report unter dem Titel „Chaes: Novel Malware Targeting Latin American E-Commerce“ steht Ihnen hier zum Herunterladen zur Verfügung. 

www.cybereason.com


Artikel zu diesem Thema

Phishing
Nov 16, 2020

Phishing-Angriffe steigen durch COVID-19 um 220 Prozent

Die COVID-19-Pandemie führt weiterhin zu deutlich verstärkten Phishing- und…
OnlinePaymentFraud
Nov 11, 2020

Coronakrise lässt Betrug mit digitalen Zahlungsmitteln explodieren

COVID-19 hat mit Lockdown und Social Distancing nicht nur dem E-Commerce Auftrieb gegeben…
CyberSecurity
Nov 07, 2020

The New Normal in Cybersecurity

Ungepatchte Schwachstellen, Verschleierungstaktiken und APTs (Advanced Persistent…

Weitere Artikel

Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…
Spam Mails

Was ist Spam und wer profitiert davon?

Mit Spam werden unerwünschte E-Mails bezeichnet, die in gigantischen Mengen über ein elektronisches Nachrichtensystem oder über das World Wide Web versandt werden. Erfahren Sie im folgenden Artikel, was Spam ist, wie es funktioniert, wie Sie Spam erkennen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.