Les chercheurs en sécurité informatique d'Avast ont découvert qu'une campagne de logiciels malveillants a compromis plus de 800 sites WordPress pour diffuser un cheval de Troie baptisé Chaes. Ce maliciel se sert d'extensions infectées de Google Chrome pour vider les comptes bancaires des victimes.

Décidément, il ne se passe pas une journée sans évoquer un nouveau malware. Alors que le ministère de la Justice français a été visé par un ransomware, c'est au tour des clients de nombreuses banques brésiliennes d'être pris pour cible par une nouvelle cyberattaque.

Comme le précisent les chercheurs en sécurité informatique d'Avast, cette campagne utilise un malware baptisé Chaes. Il aurait déjà infecté pas moins de 800 sites web sous WordPress et continuent de se propager grâce à eux. Il s'agit d'un maliciel spécialisé dans le vol d'informations via une chaîne d'infection particulièrement sophistiquée.

“Chaes se caractérise par une diffusion en plusieurs étapes qui utilise des cadres de scripts tels JScript, Python et NodeJS, des binaires écrits en Delphi (ndrl : un langage de programmation) et des extensions Google Chrome malveillantes”, expliqent Anh Ho et Igor Morgensten, chercheurs chez Avast. “L'objectif ultime de Chaes est de voler les informations d'identification stockés dans Chrome et d'intercepter les connexions des sites bancaires populaires au Brésil”.

À lire également : Powerpoint  des pirates utilisent le logiciel de Microsoft pour diffuser des malwares

Le malware Chaes détourne Chrome pour ruiner ses victimes

Voici le mode opératoire de Chaes : la séquence d'attaque se déclenche lorsque les utilisateurs visitent l'un des sites web infectés. Une pop-up s'affiche et les invitent à installer une fausse application JavaRuntime. Si la cible suit les instructions, l'installateur malveillant lance une routine complexe de diffusion du malware qui aboutit au déploiement de plusieurs modules. Ces modules, ce sont justement ces extensions malveillantes de Chrome. Voici dans le détail leur nom et leur rôle :

• Online : un module Delphi utilisé pour prendre l'empreinte de la victime et transmettre les informations système à un serveur de commande et de contrôle
• Mtps4 : une porte dérobée basée sur Delphi dont la principale tâche consiste à se connecter au serveur C2 et attendre l'exécution d'un script Pascal répondant
• Chrolog : un voleur de mot de passe Google Chrome écrit en Delphi
• Chremows : Cheval de Troie bancaire Javascript qui enregistre les pressions sur le clavier et les clics de souris sur Chrome dans le but de voler les informations des utilisateurs

Avast affirme que cette campagne suit toujours son cours, et de fait, les experts ont partagé leurs conclusions au CERT brésilien, soit le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.

Source : TheHackerNews