# Chaes > Tipo: **malware** · S0631 · [MITRE ATT&CK](https://attack.mitre.org/software/S0631) ## Descrição [[s0631-chaes|Chaes]] é um infostealer de múltiplos estágios escrito em várias linguagens de programação que coleta credenciais de login, números de cartão de crédito e outras informações financeiras. [[s0631-chaes|Chaes]] foi observado pela primeira vez em 2020 e parece ter como alvo principal vítimas no Brasil, bem como outros clientes de e-commerce na América Latina. O malware utiliza uma cadeia de infecção complexa composta por módulos em Python, JavaScript, VBScript e .NET, cada um responsável por uma fase específica do ataque. A infecção inicia via spearphishing com anexo malicioso ([[t1566-001-spearphishing-attachment|T1566.001]]) ou templaté injection ([[t1221-template-injection|T1221]]). O instalador MSI disfarçado ([[t1218-007-msiexec|T1218.007]]) e o InstallUtil ([[t1218-004-installutil|T1218.004]]) são usados para execução de código. O Chaes coleta cookies de sessão web ([[t1539-steal-web-session-cookie|T1539]]), faz descoberta do proprietário do sistema ([[t1033-system-owneruser-discovery|T1033]]) e exfiltra dados via protocolo alternativo ([[t1048-exfiltration-over-alternative-protocol|T1048]]). Modificações no registro ([[t1112-modify-registry|T1112]]) garantem persistência entre reinicializações. Em 2022, a Morphisec documentou o Chaes 4.1, uma versão significativamente atualizada com módulos refatorados e capacidades expandidas de roubo de credenciais bancárias. A campanha demonstrou evolução contínua do malware e seu foco exclusivo na América Latina, particularmente contra usuários do Mercado Livre e sistemas de Internet Banking brasileiros como Itaú, Bradesco e Banco do Brasil. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1106-native-api|T1106 - Native API]] - [[t1218-004-installutil|T1218.004 - InstallUtil]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1059-006-python|T1059.006 - Python]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1221-template-injection|T1221 - Templaté Injection]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Detecção - Monitorar instalações MSI não autorizadas que carregam DLLs externas ([[t1218-007-msiexec|T1218.007]]) - Detectar execução de InstallUtil com argumentos apontando para caminhos de usuário ([[t1218-004-installutil|T1218.004]]) - Alertar sobre scripts Python em diretórios temporários fazendo conexões de rede ([[t1059-006-python|T1059.006]]) - Identificar acesso a cookies de sessão de navegadores por processos não relacionados ao browser ([[t1539-steal-web-session-cookie|T1539]]) - Regra Sigma: modificação de chaves de registro Run por processos derivados de MSI seguida de comunicação de rede ## Relevância LATAM/Brasil O [[s0631-chaes|Chaes]] é um dos malwares com impacto mais direto e documentado no Brasil e América Latina. Desenvolvido específicamente para atacar usuários de plataformas de e-commerce e bancos da região, o Chaes representa uma ameaça ativa para consumidores e empresas brasileiras. Alvos documentados incluem clientes do Mercado Livre, MercadoPago, e usuários de Internet Banking de grandes bancos brasileiros. Em 2022, o Chaes evoluiu para a versão 4.1 com novos módulos de ataque específicos para o ecossistema financeiro brasileiro, confirmando o foco contínuo e a sofisticação crescente desta ameaça regional. ## Referências - [MITRE ATT&CK - S0631](https://attack.mitre.org/software/S0631)