Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine neue Untersuchung des Cybereason Nocturnus-Teams vor. Die Forscher haben eine aktive Kampagne identifiziert, die sich mit einer neuen, mehrstufigen Malware gegen die Kunden einer großen E-Commerce-Plattform richtet.

Die Malware namens „Chaes“ umgeht herkömmliche Antiviren-Lösungen und wurde entwickelt, um vertrauliche Kundeninformationen wie Zugangsdaten, Kreditkartennummern und andere Finanzinformationen abzuziehen. 

E-Commerce-Plattformen sind ein bevorzugtes Ziel von Cyberkriminellen, und das durch die Covid-19-Pandemie stark gestiegene Volumen beim Online-Shopping hat Angriffe potenziell noch profitabler gemacht. Laut der Daten des im August dieses Jahres veröffentlichten IBM U.S. Retail Index "hat die Pandemie die Verlagerung des Einkaufs von physischen Ladengeschäften hin zum digitalen Einkauf um etwa fünf Jahre beschleunigt", und "der E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen" (TechCrunch).

Bedrohungsakteure

Das Cybereason Nocturnus-Team hat Bedrohungsakteure aufgespürt, die eine bislang unbekannte Malware namens Chaes einsetzen. Ziel sind in erster Linie brasilianische Kunden des größten lateinamerikanischen E-Commerce-Unternehmens, MercadoLivre. Dabei stellten die Forscher fest, dass sich die lateinamerikanische Cybercrime-Szene in den letzten Jahren stark weiterentwickelt hat. Zu den berühmt-berüchtigten Malware-Programmen, die gerade im letzten Jahr aufgetreten sind, zählen Grandoreiro, Ursa und Astaroth. 

Die Cyberkriminalität in LATAM weist einige typische Eigenheiten hinsichtlich der TTPs auf. Ähnliches gilt für die Möglichkeiten, wie sich eine Malware auf einem infizierten Computer weiterverbreitet. Zu diesen Trends gehört die Verwendung von .MSI-Dateien als erste Möglichkeit, die Infektionskette zu starten, Delphi als bevorzugte Sprache für die Codierung der Malware, die weitreichende Nutzung von LOLBins zur Ausführung von Inhalten und das Herunterladen zusätzlicher legitimer Tools, um die Funktionen der Malware zu erweitern und die Tarnung soweit wie möglich zu perfektionieren.

Die wichtigsten Ergebnisse auf einen Blick

  • Ziel der Malware ist das größte E-Commerce-Unternehmen in Lateinamerika: Chaes richtet sich speziell gegen die brasilianische Website des E-Commerce-Unternehmens MercadoLivre und deren Seite zur Zahlungsabwicklung, MercadoPago. Ziel ist es, Finanzdaten der Kunden in großem Umfang abzugreifen. Die eigentliche Payload bildet ein Node.Js Information Stealer, der die Daten mithilfe des Node-Prozesses abzieht.
  • Diebstahl von Zugangsdaten, Erfassung von Bildschirminhalten, Browser-Überwachung und weiteres Auskundschaften: Chaes wurde entwickelt, um sensible Informationen aus dem Browser zu stehlen. Dazu zählen Zugangsdaten/Anmeldeinformationen, Kreditkartennummern und andere Finanzinformationen von Kunden der MercadoLivre-Webseite. Chaes erstellt zusätzlich Screenshots der infizierten Rechner, koppelt sich an den Chrome-Browser und überwacht diesen, um Benutzerinformationen von infizierten Hosts zu sammeln.
  • Mehrstufige Bereitstellung, Multi-Language Malware: Chaes-Infektionen bestehen aus mehreren Stufen, welche die Verwendung von LoLbins und anderer legitimer Software einschließen. Dies macht die Erkennung durch herkömmliche Antiviren-Lösungen sehr schwierig. Des weiteren ist Chaes in unterschiedlichen Programmiersprachen geschrieben, darunter Javascript, Vbscript, .NET, Delphi und Node.js.
  • Lädt legitime Software herunter und wurde so entwickelt, um möglichst beständig zu sein: Chaes nutzt legitime Tools wie Python, Unrar und Node.js. Die funktionalen Stufen bedienen sich verschiedener Techniken und verwenden dabei sowohl LoLbins als auch Open Source Tools, dateilose Aktivitäten und legitime Node.js-Bibliotheken, was dafür sorgen soll, dass sich die Malware besonders beständig einnistet.

Lior Div, Mitgründer und CEO von Cybereason: "Bedrohungsakteure investieren sehr viel Zeit, Ressourcen und Aufwand in die Auswahl ihrer Ziele, wenn es um kriminelle Operationen wie diese geht. Dabei steht die Rentabilität der Investitionen immer im Vordergrund. Zweifelsohne ist den Angreifern der dramatische Anstieg von Transaktionen beim Online Shopping nicht entgangen. Da ist es wenig überraschend, dass neue und immer raffinierter werdende Malware-Varianten auftauchen, die sich die aktuellen Umstände zunutze machen. Deshalb sollte jeder Einzelne beim Thema Cyberhygiene wachsam sein. Allein, um Malware-Angriffe grundsätzlich zu vermeiden. 

Besondere Aufmerksamkeit ist beim Online Shopping und Online-Banking geboten, wenn man nicht ins Visier von Angreifern geraten will, die sich die Auswirkungen der Pandemie und den Anstieg bei finanziellen Online-Transaktionen zunutze machen.

Der komplette Report unter dem Titel „Chaes: Novel Malware Targeting Latin American E-Commerce“ steht Ihnen hier zum Herunterladen zur Verfügung. 

www.cybereason.com


Artikel zu diesem Thema

Phishing
Nov 16, 2020

Phishing-Angriffe steigen durch COVID-19 um 220 Prozent

Die COVID-19-Pandemie führt weiterhin zu deutlich verstärkten Phishing- und…
OnlinePaymentFraud
Nov 11, 2020

Coronakrise lässt Betrug mit digitalen Zahlungsmitteln explodieren

COVID-19 hat mit Lockdown und Social Distancing nicht nur dem E-Commerce Auftrieb gegeben…
CyberSecurity
Nov 07, 2020

The New Normal in Cybersecurity

Ungepatchte Schwachstellen, Verschleierungstaktiken und APTs (Advanced Persistent…

Weitere Artikel

Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?
Cybercrime

Neue Malware DTPacker vereint Fähigkeiten zweier Formen von Schadsoftware

Die Sicherheitsexperten von Proofpoint haben kürzlich eine neue Malware identifiziert, die im Rahmen dutzender Kampagnen von verschiedenen cyberkriminellen Gruppen zum Einsatz gebracht wurde. Der neuentdeckten Malware gaben die Security-Forscher den Namen…
Kryptowaehrung Hacked

Neuer Krypto Wallet Stealer BHUNT agiert weltweit

Die Experten der Bitdefender Labs haben eine neue Familie von Malware zum Stehlen von Krypto Wallets identifiziert: BHUNT kann zum einem Informationen zu Kryptowährungen aus der digitalen Geldbörse eines Opfers entwenden.
Phishing

DHL: die meist imitierte Marke bei Phishing-Versuchen

Der aktuelle Q4 Brand Phishing Report von Check Point Research zeigt auf, welche Marken am häufigsten von Hackern nachgeahmt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.