L’équipe de recherches Nocturnus, de Cybereason, vient de découvrir un tout nouveau malware voleur d’informations bancaires (« InfoStealer ») nommé Chaes par les analystes. Chaes est diffusé par le biais de campagnes de phishing vers les utilisateurs, leur confirmant la validation d’une transaction. Pour accroître l’impression de légitimité de leur email, les opérateurs de Chaes ont ajouté une note de bas annonçant que le mail a été « scanné par (l’antivirus) Avast ».  Il semble que ce malware sévisse en ce moment principalement sur MercadoLivre, une plate-forme de e-commerce d'Amérique Latine.

Concrètement, l’attaque se déroule en plusieurs étapes : l’email contient un document Word, qui une fois ouvert par l’utilisateur, établit une connexion avec le serveur de commande et contrôle (C2C) de l'attaquant, puis télécharge plusieurs charges utiles sous la forme de fichiers, pour au final extraire les informations.

L’attaque est massive, et même si elle semble concerner surtout les consommateurs brésiliens, elle démontre l’intérêt évident des attaquants pour les consommateurs en ligne actuellement.

Des événements tels que le Black Friday, où les offres commerciales et les interactions avec les vendeurs sont nombreuses sont évidemment propices pour dissimuler des campagnes de phishing, en jouant sur la baisse de vigilance des consommateurs. En France, en 2019, 56 millions de transactions ont été réalisées en ligne en 24h à l’occasion du Black Friday, et ce sont 62% des français qui réalisent des achats tous les ans à cette période.