Petit et inoffensif ? Non Chihuahua est un nouveau malware récemment découvert classé dans la catégorie des infostealers.
Les chercheurs de la société G DATA, spécialiste de l'antivirus, ont récemment identifié "Chihuahua", un logiciel malveillant dont la mission principale consiste à dérober des informations sensibles stockées dans les navigateurs web et les portefeuilles de cryptomonnaies. Ce dernier a initialement été repéré sur Reddit en infectant sa victime via Google Drive.
Chihuahua : un infostealer discret et adaptatif
Codé en .NET, Chihuahua se distingue par sa capacité à contourner les dispositifs de sécurité classiques. Il cible notamment les données d’identification (et donc les mots de passe), les cookies, l’historique de navigation et les extensions de navigateur liées aux cryptomonnaies.
D'après les experts, l’analyse du code révèle que Chihuahua échappe aux dispositifs de détection via des techniques de chiffrement et de dissimulation. Surtout, Chihuahua est un malware modulaire avec une structure évolutive. Il exploite des scripts PowerShell pour télécharger des "add-ons". Ce module déclenche une chaîne d’exécution complexe en plusieurs étapes, laquelle utilise l’encodage Base64, et l’offuscation par chaînes hexadécimales. De cette manière, hackers sont en mesure d’adapter rapidement leur arme en fonction des protections rencontrées ou des objectifs visés.
Une fois la collecte d'information réalisée, Chihuahua procède à une exfiltration discrète des données vers des serveurs distants contrôlés par les cybercriminels. Les victimes potentielles sont principalement les utilisateurs de portefeuilles de cryptomonnaies. Mais finalement, n'importe qui faisant usage du gestionnaire de mots de passe du navigateur devient une cible potentielle.
Dans un premier temps, Chihuahua créer un répertoire unique pour sa victime, lequel sera ensuite transmis au serveur distant. Puis le malware commence à extraire des données en recherchant des fichiers de navigateurs et de portefeuilles cryptographiques dans les répertoires utilisateurs.
Il passe ainsi en revue les navigateurs installés sur la machine de la victime et surtout les dossiers de données locaux associés. Pour chaque navigateur détecté, il procède à l'extraction des identifiants, cookies, données de saisie automatique, historique de navigation, sessions et informations de paiement. Chihuahua repère également les dossiers associés aux extensions installées, et notamment s'il s'agit de portefeuilles crypto.
Ce sont ces données brutes qui sont placées dans une archive baptisée .chihuahuha, laquelle est chiffrée via l'algorithme AES-GCM.
