Un nouveau logiciel malveillant pour Google Chrome avec Sneaky Payload vole les informations d'identification de l'utilisateur

Les entreprises de cybersécurité analysent en permanence environnement en ligne pour rechercher de nouvelles menaces de programmes malveillants susceptibles de mettre en péril la vie privée des utilisateurs et pour comprendre les vecteurs de distribution types à travers lesquels de telles attaques sont menées. Récemment, des chercheurs ont découvert un nouveau logiciel malveillant ressemblant beaucoup à d’autres informations déjà connues qui volent des menaces. Toutefois, échantillon analysé semble unique non seulement en ce sens q il cible spécifiquement le navigateur Google Chrome, contrairement à autres menaces connues qui visent tous les navigateurs Internet courants, mais également en ce qui concerne la technologie utilisée. Cette nouvelle menace n’est pas obscurcie et devrait théoriquement être bloquée par des solutions anti-malware. Cependant, les logiciels anti-virus ne le détectent même pas dans la plupart des cas, ce qui est assez déroutant pour les analystes de programmes malveillants.

infection avec ce nouvel outil de collecte informations identification se produit à aide un compte-gouttes simple . Ce compte-gouttes crée un dossier \ temp dans le chemin actuel, d’une taille d’environ 6 Mo, qui devient le dossier parent du malware. Dans ce nouveau dossier, le compte-gouttes crée un script simple appelé "death.bat" qui supprime le répertoire / temp. Ensuite, le compte-gouttes crée six autres fichiers dans le dossier parent, composés de cinq fichiers DLL et un fichier binaire appelé "virus.exe" qui semble utiliser cURL. Les chercheurs soulignent q il y a pas beaucoup autres menaces de logiciels malveillants qui utilisent cURL, ce qui rend la nouvelle menace vraiment intéressante. De plus, les noms de fichiers du malware sont clairs et utilisent ni obscurcissement ni cryptage. Une fois le dossier parent rempli, le programme malveillant exécute le fichier binaire "virus.exe", tandis que le script de traitement par lots qui supprime toutes les traces du programme malveillant est exécuté cinq secondes plus tard. Ensuite, une boîte de message avec un message erreur générique apparaît, semble-t-il, simplement pour tromper utilisateur.

analyse de la charge utile principale du logiciel malveillant révèle q il agit une menace réelle pour la vie privée des utilisateurs. Google Chrome stocke non seulement les noms utilisateur et les mots de passe, mais également les données de carte de crédit. Un utilisateur normal a pas besoin de privilèges administrateur pour accéder au fichier Chrome dans lequel le navigateur stocke les informations identification, ce qui signifie que le logiciel malveillant a pas besoin un outil élévation de privilèges pour accéder à ce fichier. Les informations identification Chrome sont stockées dans un fichier de base de données SQLite. Afin de contourner le mécanisme de protection du navigateur, le logiciel malveillant ne tue que certains processus Chrome, puis ouvre le fichier de base de données, effectue plusieurs requêtes SQL et lit les informations contenues dans le fichier. Après cela, les données sont enregistrées et envoyées vers le formulaire Google du programme malveillant via cURL. Dans ce cas, application Web gratuite Google Forms est utilisée à mauvais escient par des attaquants pour collecter et stocker des données volées.

En fonction de son flux opérationnel, cette nouvelle menace ne peut pas être identifiée en tant que membre une famille de logiciels malveillants connue qui volerait les informations identification Chrome. Il est très intelligent, silencieux et rapide, il ne crée aucun fichier sur le disque, ne modifie pas le registre et, d’une manière générale, n’endommage pas l’ordinateur infecté. En revanche, cURL et Google Forms sont difficiles à appréhender. En tout état de cause, le respect de la vie privée des utilisateurs est gravement menacé, dans la mesure où il collecte des données sensibles telles que les mots de passe et les numéros de cartes de crédit.