Les acteurs malveillants sont toujours à la recherche de nouveaux moyens d’obtenir un accès non autorisé et de voler de l’argent. Aujourd’hui, selon un nouveau rapport de la société de cybersécurité Morphisec, les acteurs malveillants ont développé une nouvelle souche de malware connue sous le nom de Chaes 4, qui utilise le protocole DevTools de Google pour collecter illégalement les données de ses victimes.
Initialement identifié comme un malware ciblant les clients du commerce électronique en Amérique latine, la dernière itération de Chae$ 4 introduit de nouvelles techniques d’extraction d’informations d’identification et utilise une approche sophistiquée pour intercepter les données du presse-papiers. De plus, le fait que le malware s’appuie sur le protocole DevTools de Google signifie un changement stratégique dans sa tactique, offrant un accès direct au navigateur d’une victime et un éventail de fonctionnalités intrusives.
Comment se déroule l’attaque ?
Selon le rapport, lorsqu’une victime potentielle visite un site Web compromis, les auteurs de la menace présentent un message contextuel trompeur, les incitant à télécharger un programme d’installation pour Java Runtime ou une solution antivirus. Lors de l’installation, le logiciel malveillant déploie un fichier MSI malveillant, qui lance ensuite un module principal appelé « ChaesCore ».
À partir de là, ChaesCore établit un canal de communication avec le serveur de commande et de contrôle (C2) et récupère des modules supplémentaires, qui permettent au malware de recueillir des informations complètes sur l’appareil de la victime et d’extraire les informations d’identification stockées dans le navigateur. Pour ne rien arranger, certains modules sont même capables d’intercepter les transactions financières sur l’appareil de la victime, posant ainsi un risque important.
Qui est derrière les attaques du malware Chaes ?
Début 2022, les experts en sécurité d’Avast ont attribué ces attaques à un groupe connu sous le nom de « Lucifer », qui cible principalement les organisations des secteurs bancaire et logistique. Cependant, il est important de noter que ces acteurs malveillants, avec plus de 800 sites WordPress compromis, se concentrent actuellement sur l’Amérique latine, en particulier le Brésil.
«Il se concentre spécifiquement sur les clients de plateformes et de banques de premier plan telles que Mercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank et même MetaMask. De plus, des dizaines de services CMS (Content Management) n’ont pas non plus été épargnés, notamment WordPress, Joomla, Drupal et Magento », peut-on lire dans le rapport.
