Actualités

MercadoLivre : Chaes, un malware multipliant les logiciels légitimes pour aspirer les données-clients depuis une attaque par phishing ! (un achat non-acheté…)

Toujours dans la créativité perpétuelle, les attaques par phishing ne manquent pas d’originalité, ce qui en fait malheureusement des cyber-attaques de prédilection : dernière en date, le cas de Chaes, un malware qui se propage depuis des mails notifiant faussement qu’un achat a été effectué avec, la fameuse pièce jointe…

 

 

Votre commande a été facturée avec succès sur notre système, numéro de commande: 112187194961661 généré le 22/09/2020 à 09:33:48 PM Statut: APPROUVÉ! Montant de la commande: 4661,22 R $ paiement facturé en 4X (Boleto Bancário). sont les accès contenant les données listées ci-dessus: Clé d’accès: 3872190867349812064732892309012388561092“, était-il envoyé à de nombreux clients du site MercadoLivre, un web-marchand d’Amérique latine. Révélée au milieu de l’année 2020 par l’équipe sécuritaire CyberReason, elle permet d’infecter un terminal depuis un mail (qui indique que ce dernier a été “scanné par Avast”, en bas de mail, pour endormir la méfiance de l’utilisateur) porteur d’un fichier .MSI. De là, un script se charge pour injecter le malware. En finalité, l’ex-filtration de données se fait par un fichier Node qui inter-communique en continu pour déployer des actions depuis un serveur distant command-and-control : “le logiciel malveillant ouvre un navigateur Chrome, le surveille à l’aide de l’accrochage, puis contrôle son activité à l’aide des fonctionnalités Puppeteer stockées dans le script Node.js. De cette manière, le logiciel malveillant peut entrer dans les sections de paiement MercadoPago et MercadoLivre sans l’interaction ou le consentement de l’utilisateur. Il gratte ensuite les informations qui y sont stockées et les envoie à un serveur C2 distant.La partie alarmante de ce malware basé sur node.js est le fait que la majorité de ce comportement est considéré comme normal, car l’utilisation de la bibliothèque Puppeteer pour le web scraping n’est pas malveillant par nature. Par conséquent, la détection de ces types de menaces est beaucoup plus difficile“, indique en complément d’informations, le rapport dédié à la campagne de phishing.

 

L’infection démarre dès lors que l’utilisateur clique sur le fichier joint au mail (.DOCX), qui renvoie à un fichier .MSI chargé de télécharger Chaes. Ce dernier dispose d’outils complémentaires comme un .DLL nommé uninstall, un fichier .NET chargé de déchiffrer les fichiers binaires (engine.bin) AES. On y retrouvé, également, des lignes relatives à un compteur, selon le type de donnée analysée (USB, JavaScript) : des techniques qui permettent de mieux savoir, pour un individu malveillant, ce qui est installé ou non sur tel ou tel terminal (en scannant ou capturant les informations : nom-PC, nom-utilisateur, UID, version-système et version-malware) ou, alors, à quelle stade en est l’infection. Un autre .DLL du nom de hha permet de “télécharger et déchiffrer” le fichier binaire du malware (chaes1.bin) en se faisant passer pour un fichier légitime de Windows (du même nom). Au final ce .DLL s’instille en tant que processus via hhc.exe.

 

Chaes, quant à lui, est téléchargé depuis un fichier UNRAR et utilise Python pour déployer un module (ModHooksCreateWindows64.dll) vers le navigateur Chrome. Ce dernier est utilisé pour faire le ping-pong avec le serveur distant pour extraire les données dont la plaque tournante est une base de données SQL nommée local.sql : informations personnelles, données bancaires, identifiants personnelles ou de sites Web… tout est aspiré en exécution distante. DDetours (une librairie open-source pour les fonctions APIs Windows et Delphi) est utilisé dans le code-source du module ModHooks et exploite la fonction ShowWindows pour mieux détecteur “si le navigateur Chrome est actif”. L’équipe CyberReason fait un rapprochement potentiel entre la personne qui a écrit ce bout de code et le botnet Carberp qui mettait en lumière une technique similaire mais avec Internet Explorer.

Le malware sert non seulement d’avertissement aux chercheurs en sécurité de l’information et aux professionnels de l’informatique de ne pas prendre à la légère l’existence de fichiers légitimes par nature, mais soulève également l’inquiétude d’une éventuelle tendance future à utiliser la bibliothèque Puppeteer pour d’autres attaques dans d’autres. Cybereason continuera de surveiller les progrès de Chaes pour déterminer s’il s’étendra à davantage de sociétés de commerce électronique dans les Amériques latine et si la popularité des logiciels malveillants basés sur Node.js continuera d’évoluer“… A veiller !

 

 

Source : CyberReason – 17 Novembre 2020 – Chaes : campagne de phishing sévissant en Amérique Latine sur un site e-commerce.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1