Chaes Banking Trojan détourne le navigateur Chrome avec des extensions malveillantes

Chaes Banking Trojan Des nouvelles

Une campagne de logiciels malveillants à motivation financière a compromis plus de 800 sites Web WordPress pour fournir un cheval de Troie bancaire surnommé Chaes ciblant les clients brésiliens de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre et Mercado Pago.

Documenté pour la première fois par Cyberaison en novembre 2020, le logiciel malveillant voleur d’informations est diffusé via une chaîne d’infection sophistiquée conçue pour collecter des informations sensibles sur les consommateurs, notamment les identifiants de connexion, les numéros de carte de crédit et d’autres informations financières.

« Chaes se caractérise par la livraison en plusieurs étapes qui utilise des frameworks de script tels que JScript, Python et NodeJS, des binaires écrits en Delphi et des extensions Google Chrome malveillantes », ont déclaré les chercheurs d’Avast Anh Ho et Igor Morgenstern. mentionné. « Le but ultime de Chaes est de voler les informations d’identification stockées dans Chrome et d’intercepter les connexions des sites Web bancaires populaires au Brésil. »

La séquence d’attaque est déclenchée lorsque les utilisateurs visitent l’un des sites Web infectés, sur lequel une fenêtre contextuelle s’affiche, les invitant à installer une fausse application Java Runtime. Si l’utilisateur suit les instructions, le programme d’installation malveillant lance une routine complexe de distribution de logiciels malveillants qui aboutit au déploiement de plusieurs modules.

Cheval de Troie bancaire Chaes

Certaines des charges utiles intermédiaires sont non seulement cryptées, mais également masquées sous forme de code commenté dans la page HTML d’un domaine blogspot de Blogger (« awsvirtual[.]blogspot.com »). Dans la dernière étape, un dropper JavaScript télécharge et installe jusqu’à cinq extensions Chrome —

  • En ligne – Un module Delphi utilisé pour prendre les empreintes digitales de la victime et transmettre les informations système à un serveur de commande et de contrôle (C2)
  • Mtps4 (MultiTela Pascal) – Une porte dérobée basée sur Delphi dont le but principal est de se connecter au serveur C2 et d’attendre une réponse Ecriture pascale éxécuter
  • Chronolog (ChromeLog) – Un voleur de mot de passe Google Chrome écrit en Delphi
  • Chronodx (Chrome Noder) – Un cheval de Troie JavaScript qui, lors de la détection du lancement du navigateur Chrome par la victime, le ferme immédiatement et rouvre sa propre instance de Chrome contenant un module malveillant qui vole des informations bancaires
  • Chremows (Chrome WebSocket) – Un cheval de Troie bancaire JavaScript qui enregistre les appuis sur les touches et les clics de souris sur Chrome dans le but de piller les identifiants de connexion des utilisateurs de Mercado Livre et Mercado Pago

Déclarant que les attaques sont en cours, Avast a déclaré qu’il avait partagé ses conclusions avec le CERT brésilien pour perturber la propagation du malware. Cela dit, des artefacts liés à Chaes continuent de se trouver sur certains des sites Web infectés.

« Chaes exploite de nombreux sites Web contenant des CMS WordPress pour servir des installateurs malveillants », ont conclu les chercheurs. « Les extensions Google Chrome sont capables de voler les informations d’identification des utilisateurs stockées dans Chrome et de collecter les informations bancaires des utilisateurs à partir de sites Web bancaires populaires. »

David
Rate author
Hackarizona