Chrome : ce cheval de Troie peut vider votre compte grâce à des extensions malveillantes

Les chercheurs en sécurité informatique d'Avast ont découvert qu'une campagne de logiciels malveillants a compromis plus de 800 sites WordPress pour diffuser un cheval de Troie baptisé Chaes. Ce maliciel se sert d'extensions infectées de Google Chrome pour vider les comptes bancaires des victimes.

chrome malware extensions
Crédits : Pixabay

Décidément, il ne se passe pas une journée sans évoquer un nouveau malware. Alors que le ministère de la Justice français a été visé par un ransomware, c'est au tour des clients de nombreuses banques brésiliennes d'être pris pour cible par une nouvelle cyberattaque.

Comme le précisent les chercheurs en sécurité informatique d'Avast, cette campagne utilise un malware baptisé Chaes. Il aurait déjà infecté pas moins de 800 sites web sous WordPress et continuent de se propager grâce à eux. Il s'agit d'un maliciel spécialisé dans le vol d'informations via une chaîne d'infection particulièrement sophistiquée.

Chaes se caractérise par une diffusion en plusieurs étapes qui utilise des cadres de scripts tels JScript, Python et NodeJS, des binaires écrits en Delphi (ndrl : un langage de programmation) et des extensions Google Chrome malveillantes”, expliqent Anh Ho et Igor Morgensten, chercheurs chez Avast. “L'objectif ultime de Chaes est de voler les informations d'identification stockés dans Chrome et d'intercepter les connexions des sites bancaires populaires au Brésil”.

À lire également : Powerpoint  des pirates utilisent le logiciel de Microsoft pour diffuser des malwares

Le malware Chaes détourne Chrome pour ruiner ses victimes

Voici le mode opératoire de Chaes : la séquence d'attaque se déclenche lorsque les utilisateurs visitent l'un des sites web infectés. Une pop-up s'affiche et les invitent à installer une fausse application JavaRuntime. Si la cible suit les instructions, l'installateur malveillant lance une routine complexe de diffusion du malware qui aboutit au déploiement de plusieurs modules. Ces modules, ce sont justement ces extensions malveillantes de Chrome. Voici dans le détail leur nom et leur rôle :

  • Online : un module Delphi utilisé pour prendre l'empreinte de la victime et transmettre les informations système à un serveur de commande et de contrôle
  • Mtps4 : une porte dérobée basée sur Delphi dont la principale tâche consiste à se connecter au serveur C2 et attendre l'exécution d'un script Pascal répondant
  • Chrolog : un voleur de mot de passe Google Chrome écrit en Delphi
  • Chremows : Cheval de Troie bancaire Javascript qui enregistre les pressions sur le clavier et les clics de souris sur Chrome dans le but de voler les informations des utilisateurs

Avast affirme que cette campagne suit toujours son cours, et de fait, les experts ont partagé leurs conclusions au CERT brésilien, soit le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.

Source : TheHackerNews


Réagissez à cet article !

Demandez nos derniers articles !

Windows 11 : impossible de fermer une application qui plante ? Pas de panique, il y a une solution à tout !

Lorsqu’un logiciel récalcitrant bloque totalement votre PC, le Gestionnaire des tâches s’impose comme la solution numéro 1 pour résoudre le problème. Mais que faire quand l’utilitaire fait aussi des siennes…

Arnaque sur Amazon : de faux guides pour Black Flag Resynced, Gears of War E-Day ou Control Resonant sont générés par IA

Une nouvelle tendance apparaît sur Amazon : les faux guides entièrement générés par IA pour des jeux vidéo qui ne sont pas encore sortis. Il s’agit bien évidemment d’une arnaque….

Les salariés désobéissent en masse pour utiliser l’IA au travail, au risque d’exposer des données confidentielles

Les entreprises encadrent de plus en plus l’usage de l’intelligence artificielle. Pourtant, leurs salariés contournent joyeusement les règles en douce. Résultat, cette désobéissance ouvre une brèche béante dans la sécurité…

SFR impose la Navigation Protégée par défaut pour tous ses abonnés, comment la désactiver ?

La Navigation Protégée est une nouvelle option de sécurité par filtrage DNS chez SFR. Elle est activée par défaut pour tous les abonnés fibre, et il n’est pas simple de…

Tineco Floor One S7 Pro : 70% de réduction sur cet excellent aspirateur laveur, c’est une affaire !

Même pendant les soldes, c’est vraiment rare de trouver des baisses de prix aussi conséquentes. Sur AliExpress, vous pouvez bénéficier d’une promotion de plus de 480 euros sur l’aspirateur laveur…

Osmo Action 6 : presque 100 € de réduction sur la plus récente caméra d’action de DJI, vite !

En quelques années, DJI est devenue la marque référence des caméras d’action. Pendant les soldes, la dernière génération de la Osmo Action est à prix cassé sur AliExpress grâce à…

Microsoft aurait développé un Windows entièrement piloté par IA, ces captures le prouvent

Microsoft n’a jamais caché son obsession pour l’intelligence artificielle. Un prototype de Windows resté secret vient pourtant d’émerger. Il poussait cette logique tellement loin que le menu Démarrer disparaissait. Les…

Tesla dévoile un Model Y allongé à six places, son tarif a de quoi surprendre

Les familles nombreuses attendaient un vrai grand SUV signé Tesla. Le constructeur répond enfin avec un Model Y rallongé à six places. Son prix de départ risque pourtant d’en refroidir…

Le taxi aérien autonome de Boeing dangereux ? Une plainte sème le doute

Une ingénieure de Whisk Aero, filiale de Boeing, estime avoir été licenciée parce qu’elle a averti de risques de sécurité concernant le taxi aérien de la firme. Que s’est-il passé…

PlayStation : Sony est déjà en train de tuer sa production de disques, n’espérez pas un retour en arrière

On aurait pu croire, dans un élan d’espoir fou, que la décision de Sony de tuer le jeu physique avait été prise dans la précipitation et qu’il était encore possible…