Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine neue Untersuchung des Cybereason Nocturnus-Teams vor. Die Forscher haben eine aktive Kampagne identifiziert, die sich mit einer neuen, mehrstufigen Malware gegen die Kunden einer großen E-Commerce-Plattform richtet.

Die Malware namens „Chaes“ umgeht herkömmliche Antiviren-Lösungen und wurde entwickelt, um vertrauliche Kundeninformationen wie Zugangsdaten, Kreditkartennummern und andere Finanzinformationen abzuziehen. 

E-Commerce-Plattformen sind ein bevorzugtes Ziel von Cyberkriminellen, und das durch die Covid-19-Pandemie stark gestiegene Volumen beim Online-Shopping hat Angriffe potenziell noch profitabler gemacht. Laut der Daten des im August dieses Jahres veröffentlichten IBM U.S. Retail Index "hat die Pandemie die Verlagerung des Einkaufs von physischen Ladengeschäften hin zum digitalen Einkauf um etwa fünf Jahre beschleunigt", und "der E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen" (TechCrunch).

Bedrohungsakteure

Das Cybereason Nocturnus-Team hat Bedrohungsakteure aufgespürt, die eine bislang unbekannte Malware namens Chaes einsetzen. Ziel sind in erster Linie brasilianische Kunden des größten lateinamerikanischen E-Commerce-Unternehmens, MercadoLivre. Dabei stellten die Forscher fest, dass sich die lateinamerikanische Cybercrime-Szene in den letzten Jahren stark weiterentwickelt hat. Zu den berühmt-berüchtigten Malware-Programmen, die gerade im letzten Jahr aufgetreten sind, zählen Grandoreiro, Ursa und Astaroth. 

Die Cyberkriminalität in LATAM weist einige typische Eigenheiten hinsichtlich der TTPs auf. Ähnliches gilt für die Möglichkeiten, wie sich eine Malware auf einem infizierten Computer weiterverbreitet. Zu diesen Trends gehört die Verwendung von .MSI-Dateien als erste Möglichkeit, die Infektionskette zu starten, Delphi als bevorzugte Sprache für die Codierung der Malware, die weitreichende Nutzung von LOLBins zur Ausführung von Inhalten und das Herunterladen zusätzlicher legitimer Tools, um die Funktionen der Malware zu erweitern und die Tarnung soweit wie möglich zu perfektionieren.

Die wichtigsten Ergebnisse auf einen Blick

  • Ziel der Malware ist das größte E-Commerce-Unternehmen in Lateinamerika: Chaes richtet sich speziell gegen die brasilianische Website des E-Commerce-Unternehmens MercadoLivre und deren Seite zur Zahlungsabwicklung, MercadoPago. Ziel ist es, Finanzdaten der Kunden in großem Umfang abzugreifen. Die eigentliche Payload bildet ein Node.Js Information Stealer, der die Daten mithilfe des Node-Prozesses abzieht.
  • Diebstahl von Zugangsdaten, Erfassung von Bildschirminhalten, Browser-Überwachung und weiteres Auskundschaften: Chaes wurde entwickelt, um sensible Informationen aus dem Browser zu stehlen. Dazu zählen Zugangsdaten/Anmeldeinformationen, Kreditkartennummern und andere Finanzinformationen von Kunden der MercadoLivre-Webseite. Chaes erstellt zusätzlich Screenshots der infizierten Rechner, koppelt sich an den Chrome-Browser und überwacht diesen, um Benutzerinformationen von infizierten Hosts zu sammeln.
  • Mehrstufige Bereitstellung, Multi-Language Malware: Chaes-Infektionen bestehen aus mehreren Stufen, welche die Verwendung von LoLbins und anderer legitimer Software einschließen. Dies macht die Erkennung durch herkömmliche Antiviren-Lösungen sehr schwierig. Des weiteren ist Chaes in unterschiedlichen Programmiersprachen geschrieben, darunter Javascript, Vbscript, .NET, Delphi und Node.js.
  • Lädt legitime Software herunter und wurde so entwickelt, um möglichst beständig zu sein: Chaes nutzt legitime Tools wie Python, Unrar und Node.js. Die funktionalen Stufen bedienen sich verschiedener Techniken und verwenden dabei sowohl LoLbins als auch Open Source Tools, dateilose Aktivitäten und legitime Node.js-Bibliotheken, was dafür sorgen soll, dass sich die Malware besonders beständig einnistet.

Lior Div, Mitgründer und CEO von Cybereason: "Bedrohungsakteure investieren sehr viel Zeit, Ressourcen und Aufwand in die Auswahl ihrer Ziele, wenn es um kriminelle Operationen wie diese geht. Dabei steht die Rentabilität der Investitionen immer im Vordergrund. Zweifelsohne ist den Angreifern der dramatische Anstieg von Transaktionen beim Online Shopping nicht entgangen. Da ist es wenig überraschend, dass neue und immer raffinierter werdende Malware-Varianten auftauchen, die sich die aktuellen Umstände zunutze machen. Deshalb sollte jeder Einzelne beim Thema Cyberhygiene wachsam sein. Allein, um Malware-Angriffe grundsätzlich zu vermeiden. 

Besondere Aufmerksamkeit ist beim Online Shopping und Online-Banking geboten, wenn man nicht ins Visier von Angreifern geraten will, die sich die Auswirkungen der Pandemie und den Anstieg bei finanziellen Online-Transaktionen zunutze machen.

Der komplette Report unter dem Titel „Chaes: Novel Malware Targeting Latin American E-Commerce“ steht Ihnen hier zum Herunterladen zur Verfügung. 

www.cybereason.com


Artikel zu diesem Thema

Phishing
Nov 16, 2020

Phishing-Angriffe steigen durch COVID-19 um 220 Prozent

Die COVID-19-Pandemie führt weiterhin zu deutlich verstärkten Phishing- und…
OnlinePaymentFraud
Nov 11, 2020

Coronakrise lässt Betrug mit digitalen Zahlungsmitteln explodieren

COVID-19 hat mit Lockdown und Social Distancing nicht nur dem E-Commerce Auftrieb gegeben…
CyberSecurity
Nov 07, 2020

The New Normal in Cybersecurity

Ungepatchte Schwachstellen, Verschleierungstaktiken und APTs (Advanced Persistent…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.