ChewBacca est un cheval de Troie très actif ces trois derniers mois, durant lesquels près de 50 000 données de cartes bancaires ont été volées par son biais dans 11 pays dont les Etats-Unis, la Russie, le Canada et l'Australie. Il faut néanmoins souligner que le malware cible les données stockées dans les bandes magnétiques des cartes : ces dernières sont enregistrées lorsqu'elles sont passées dans la machine, tandis qu'un keylogger enregistre de son côté le code tapé sur le clavier numérique.
Les experts en sécurité ont étudié le fonctionnement des serveurs de commande et de contrôle du malware : l'interface n'est accessible que via le réseau caché TOR, par le biais d'une adresse en .onion. Le logiciel malveillant, une fois installé sur la machine infectée, est capable d'extraire des informations spécifiques des processus en fonctionnement, et les envoie sur une adresse en .onion également. Techniquement, le malware n'est cependant pas particulièrement discret, et se cache dans le dossier « démarrer » de Windows, sous la forme d'un exécutable système. Reste que 20% des logiciels antimalware ne le détectent pas à ce jour.
En circulation depuis octobre dernier, ChewBacca a infecté au moins 119 terminaux de paiement chez 45 commerçants. RSA ne donne pas le détail de ces derniers, mais estime qu'il serait possible de freiner la prolifération de tels malwares en éduquant les employés vis-à-vis de ces menaces informatiques, ou encore en renforçant la sécurité des terminaux de paiement par le biais d'un chiffrement plus efficace. Néanmoins, cette démarche nécessite d'investir dans de nouvelles machines sécurisées, généralement onéreuses : le fait que ce type de malware peu avancé cible les petits commerçants n'est donc pas le fruit du hasard.
