Le banking trojan Chaes détourne Chrome avec des extensions malveillantes

Le banking trojan Chaes détourne Chrome avec des extensions malveillantes

Chaes est un banking trojan découvert en 2020. Ce Malware vole les données bancaires et autres informations sensibles des victimes essentiellement localisées au Brésil. Fin janvier, le logiciel malveillant a compromis 800 sites WordPress identifiés.

Une attaque en plusieurs étapes

Avec ce banking trojan, le processus d’infection se déroule en plusieurs étapes qui se déclenchent avec la visite d’un site Web compromis. Une fenêtre pop-up s’affiche et invite la cible à télécharger une fausse application.

En suivant pas à pas les instructions d’installation, la cible exécute un programme malveillant qui lance la distribution du Malware et le déploiement de plusieurs modules. Enfin, le logiciel malveillant télécharge un compte-gouttes JavaScript qui télécharge plusieurs extensions pour Chrome

Les hackers derrière ce Malware sont principalement motivés par l’argent. Ils se fixent comme objectif de collecter les données bancaires des victimes, notamment les identifiants de connexion, les numéros de carte de crédit, etc. Ils interceptent ensuite les connexions sur les sites bancaires et utilisent les informations volées pour se connecter au compte des victimes. 

Installation de plusieurs extensions malveillantes sur Chrome

Le Malware installe entre autres un module permettant de capturer les empreintes digitales de la victime. L’extension envoie par la suite les informations volées à un serveur de commande et de contrôle (C2).

Un autre module, une porte dérobée, vise la connexion au serveur C2 et attend qu’un script Pascal répondant s’exécute. Le Malware installe également une extension voleur de mot de passe sur Chrome, un cheval de Troie JavaScript qui vole les informations bancaires et un autre qui enregistre les frappes ainsi que les clics de souris.

La campagne d’attaque de Chaes est toujours en cours et cible principalement les banques populaires du Brésil. Avast aurait envoyé ses rapport au CERT (Computer Emergency Response Team) brésilien pour endiguer la propagation du Malware.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest