Antonioguillem - stock.adobe.com
Au mois de juin, la menace des infostealers n’a pas faibli
Plus furtive et discrète que les cyberattaques avec rançongiciel, la menace des maliciels dérobeurs se maintient à un niveau élevé. Panorama de la menace en collaboration avec Sekoia.io.
Les infostealers, ces logiciels malveillants spécialisés dans le vol de données d’identification, se portent bien, très bien même. Au point que de nouveaux sont régulièrement découverts.
C’est ainsi le cas de Meduza Stealer, vendu en tant que Malware-as-a-Service (MaaS) depuis la mi-juin 2023 pour moins de 200 $ par mois, relèvent les équipes de Sekoia.io : « avec le lancement du stealer, le chemin “classique” de l’évolution d’un MaaS a été respecté : publications “commerciales” sur plusieurs forums cybercriminels, accompagnées d’un dépôt réalisé sur les forums pour la crédibilité auprès de la communauté et des administrateurs, mise en place de plusieurs ressources Telegram (pour le support, pour contacter le développeur), etc. ». Des similarités de code suggèrent que le développeur de Meduza Stealer pourrait être le même que celui d’Aurora Stealer.
Fin mai, les chercheurs de Trend Micro s’étaient penchés sur un autre nouveau venu, Bandit Stealer, capable, notamment, de passer inaperçu de Windows Defender. Sa sortie avait été précédée, mi-mai, par celle d’ObserverStealer, ainsi que par celle de Mystic Stealer, au mois d’avril. C’est au début de ce mois-là que ThirdEye semble avoir commencé ses activités.
Les équipes de Sekoia.io disent constater que « le stealer Ducktail est de plus en plus distribué en ce moment », et cela notamment sur Facebook, via des « comptes publicitaires professionnels », et LinkedIn, avec des « publications de recrutement et messages privés ». Les leurres utilisés pour piéger les internautes sont des « offres d’emploi, contenu pornographique, téléchargement de films, de jeux vidéo et logiciels craqués ».
Atomic MacOS Stealer (Amos) continue de son côté à évoluer : sa version 1.2 a été annoncée le 25 juin. Les équipes de Sekoia.io constatent également que « le stealer LummaC2 est en constante évolution, son opérateur communiquant régulièrement sur les améliorations apportées au malware via des changelogs hebdomadaires ». Son opérateur s’est en outre félicité du succès rencontré par son infostealer au premier semestre.
Enfin, les opérateurs de Titan Stealer « ont annoncé en juin le lancement de nouveaux services : TITAN TRAFFIC (potentiellement un service de Pay-Per Install), TITAN P2P (potentiellement une place de marché) et TITAN Digital (service de développement) ».
Sur le terrain, les statistiques hebdomadaires du CERT Renater suggèrent que, si l’explosion est passée, la menace continue de se maintenir à un niveau significatif. Chaque bulletin est l’occasion de rappeler que « depuis quelques mois, nous détections de nombreux chevaux de Troie du type Info-Stealer qui infectent un grand nombre de postes ». Et de souligner que la charge malveillante « n’est bien souvent pas détectée par les outils de détection usuels du type Antivirus, Firewalls, etc. ».
Au cours de la semaine du 16 juin, 25 postes connectés aux réseaux de Renater ont été infectés par Redline Stealer et Vidar Stealer – sur un total de 110 compromissions par infostealer –, « probablement par le biais de logiciels contrefaits ».