Malware : quels sont les principaux infostealers ?
Ces logiciels malveillants sont spécialisés dans le vol de données, et tout particulièrement d’authentification. Ils jouent un rôle clé dans l’écosystème de la cybercriminalité, en permettant l’établissement d’accès initiaux qui seront ensuite revendus, parfois jusqu’à conduire au déclenchement d’un ransomware.
Les infostealers ne constituent pas une menace nouvelle. Mais celle-ci a récemment gagné en prégnance. Fin mai 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a d’ailleurs publié un document de synthèse sur les menaces liées aux vols de cookies – ces jetons obtenus par le navigateur Web de l’utilisateur après une authentification réussie.
Comme le rappelle le document de l’Anssi, ces cookies « sont notamment utilisés pour maintenir ouverte la session d’un utilisateur initialement authentifié après avoir fourni son mot de passe ».
Si ces cookies sont si importants, et si prisés des attaquants, c’est pour deux raisons principales : « le déploiement de solutions d’authentification unique (SSO) et l’utilisation de consoles d’administration dans le navigateur web », d’une part, et d’autre part, la capacité de ces cookies de « permettre à un attaquant de se substituer à la connaissance d’un couple identifiant et mot de passe, pour usurper l’identité d’un utilisateur ». Cerise sur le gâteau, ces cookies de session permettent de contourner les solutions d’authentification à facteurs multiples, puisqu’ils sont collectés sur le poste utilisateur après que celui-ci se soit dûment authentifié.
Le rôle des infostealers dans l’économie de la cyberdélinquance est bien établi. Pour Recorded Future, cela ne fait aucun doute : les courtiers en accès initiaux (IAB, Initial Access Broker) qui sont obtenus via des infostealers jouent un rôle clé dans les cyberattaques avec ransomware.
Curated Intelligence a produit une cartographie le soulignant, faisant notamment ressortir Redline, Vidar, Taurus, Racoon, AZORult, AgentTesla, LokiBot, ou encore FormBook, parmi ces maliciels spécialisés. Et les annonces de ventes d’accès initiaux obtenus à l’aide d’infostealers ne manquent pas dans les forums courus des cybermécréants, à commencer par Genesis.
KELA compte parmi les spécialistes du suivi de l’activité des infostealers. En 2021, ses équipes ont relevé plus de 1 300 mises en vente de la part de près de 300 courtiers en accès initiaux. Et là, il faut compter « entre 23 et 36 jours » pour qu’une organisation concernée soit attaquée et que son nom soit rendu public, suite à l’absence de paiement de rançon.
Mars Stealer
Cet infostealer est vendu en mode service depuis la fin juin 2021. Il est notamment doté de capacités de vol d’identifiants stockés dans les navigateurs Web, de données de cartes de crédit, ou encore de cookies, mais également de données liées aux portefeuilles de cryptoactifs.
Les équipes de la jeune pousse française Sekoia.io se sont longuement penchées dessus, relevant notamment des similarités de code avec d’autres infostealers, dont Arkei, Oski et Vidar. Elles soulignent en outre que Mars Stealer a gagné en popularité, du fait de sa simplicité d’utilisation et de sa tarification « raisonnable ».
Les développeurs de Mars Stealer produisent par ailleurs de régulières mises à jour. Et le maliciel a connu un bond en popularité au printemps 2022 à l’occasion de l’arrêt annoncé de son concurrent Raccoon Stealer.
Raccoon Stealer
Ce dernier est toutefois revenu quelques mois plus tard avec une version 2.0, vendue sur un canal Telegram dédié depuis la mi-mai. Raccoon Stealer v2.0 pourrait être l’alter ego d’un autre infostealer, observé depuis la mi-juin, RecordBreaker.
Les capacités de vol de données rappellent celles des autres infostealers. Les données dérobées sont envoyées à un serveur de commande et de contrôle via des requêtes http POST. Les équipes de Sekoia ont produit, fin juin 2022, une liste d’indicateurs de compromission avec, notamment, des adresses IP de serveurs de commande et de contrôle (C2).
Le clap de fin pourrait toutefois avoir retenti pour le développeur principal de Raccoon Stealer : un suspect ukrainien de 26 ans a été arrêté en mars 2022. C’est là que l’infrastructure du maliciel – avant sa version 2.0 – a été démantelée. Mi-septembre, la Justice néerlandaise a ordonné son extradition vers les États-Unis.
Mais le Raccoon Stealer pourrait continuer sa carrière auprès d’autres claviers : les opérateurs de LockBit 3.0 ont exprimé leur intérêt pour en acheter le code source.
… Et bien d’autres encore
L’écosystème cybercriminel semble tellement friand d’accès initiaux que le marché des infostealers apparaît encore promis à un bel avenir. Durant l’été, Parrot Stealer a été mis en vente. À la même période, les équipes de Sekoia.io observaient l’émergence de Lumma Stealer, au comportement rappelant Arkei, Vidar et Mars : « il est probablement développé par le même auteur ».
De son côté, Jeff White, de la division 42 de Palo Alto Networks, est tombé, non sans surprise, sur un successeur d’AgentTelsa – arrêté début 2019 –, qu’il a baptisé OriginLogger. Et il convient également de ne pas en oublier d’autres, moins connus, comme Eternity ou encore Rhadamanthys.