Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue
Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

Date : 10 novembre 2024

Qu'est-ce qu'un InfoStealer et comment fonctionne-t-il ?

Les cyberattaques ne sont jamais le fruit du hasard, mais suivent une méthode précise. Le Cyber Kill Chain, développé par Lockheed Martin, décompose les étapes d'une attaque : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle (C2), et actions finales. Ces tactiques peuvent être cartographiées grâce à des modèles comme le cadre MITRE ATT&CK.

Après avoir obtenu un accès non autorisé, les attaquants installent des logiciels malveillants pour établir une persistence, puis utilisent le C2 pour garder un contrôle constant sur le système compromis. (persistence).

C'est là qu'entre en jeu l’InfoStealer. Ce malware est conçu pour voler des informations sensibles, qui peuvent être monétisées via extorsion ou revendues sur le marché noir. Pire, si les données incluent des identifiants (mots de passe, clés privées, tokens, etc.), les attaquants peuvent compromettre d’autres systèmes, aggravant l'attaque.

Cet article examine l’InfoStealer : ses cibles, son fonctionnement, et les souches les plus répandues. Mieux comprendre ce malware aide les organisations à mieux se préparer face à la complexité des cybermenaces actuelles. Et non, ignorer le problème ne le fera pas disparaître...


Alors, qu'est-ce qu'un InfoStealer ?

L'InfoStealer, comme son nom l’indique avec subtilité, est un logiciel malveillant conçu pour voler des données sensibles. Il s’attaque aux mots de passe, numéros de cartes bancaires, historiques de navigation, et tout ce qui a de la valeur. Le but ? Envoyer ces informations aux cybercriminels pour qu'ils en fassent bon usage : vol d’identité, gains financiers ou autres joyeusetés malveillantes.

Ces malwares infiltrent les systèmes via des e-mails de phishing, pièces jointes infectées ou sites compromis. Une fois installés, ils opèrent en toute discrétion, difficiles à repérer, utilisant des techniques d’évasion sophistiquées. Les plus avancés sont modulaires, capables de charger d'autres malwares selon ce qu'ils trouvent d’intéressant. Toujours plus malin, n'est-ce pas ?

Comment fonctionnent les InfoStealers ?

Les InfoStealers utilisent un éventail de techniques pour cibler et extraire des données spécifiques des systèmes infectés. Chaque variante de malware a ses propres capacités, allant du simple script au malware modulaire sophistiqué. Et n’oublions pas qu’ils peuvent aussi exploiter des outils natifs du système – une jolie technique appelée Living Off The Land (LOTL), où l'attaquant se sert des outils légitimes du système pour voler les données. Plutôt culotté, non ?

Chaque méthode cible des données ou périphériques spécifiques, en exploitant les vulnérabilités liées à leur utilisation, stockage ou transmission. La variété de ces techniques montre bien qu'une seule défense ne suffit pas : il faut se protéger contre tout un arsenal de stratégies d’infiltration. Parce que bon, pourquoi se contenter d’une seule attaque quand on peut diversifier ?

Quelques méthodes utilisées par les InfoStealers :

  • Keylogging : L’un des classiques ! Le malware enregistre chaque frappe au clavier, récupérant ainsi vos mots de passe, numéros de carte et autres infos sensibles. Simple, efficace.

  • Form Grabbing : Ici, le malware intercepte les données des formulaires web avant qu’elles ne soient chiffrées. Parfait pour voler identifiants et infos de paiement. Vive l’efficacité !

  • Clipboard Hijacking : Pourquoi se fatiguer quand les utilisateurs copient eux-mêmes leurs identifiants ou numéros de compte ? Le malware surveille et vole tout ce qui passe dans le presse-papier.

  • Screen Capturing : Une capture d’écran au bon moment, par exemple quand vous tapez vos identifiants, et hop, plus besoin de se soucier du texte chiffré !

  • Browser Session Hijacking : En volant des cookies et des tokens de session, les attaquants peuvent se faire passer pour vous, accédant à vos comptes sans même avoir besoin de vos identifiants. Magique, non ?

  • Credential Dumping : Le malware extrait les identifiants stockés sur votre système (navigateur, applications). Si c'est chiffré ? Pas de souci, ils tenteront de casser ça tranquillement.

  • Attaques Man-in-the-Browser : Un niveau au-dessus. Ici, le malware injecte du code malveillant directement dans le navigateur, permettant de manipuler les données en temps réel. Sympa !

  • Email Harvesting : Le malware fouille vos fichiers et e-mails à la recherche d’adresses pour, bien sûr, vous spammer ou lancer de nouvelles attaques.

  • Crypto-Wallet Harvesting : Il cherche les logiciels de portefeuille crypto, vole les clés privées et... adieu cryptos.

Quelques-uns des plus connus, pour certains on les appelle aussi des banking trojans :

Difficile de comptabiliser toutes les variantes d'InfoStealer, tant elles évoluent sans cesse et de nouvelles apparaissent régulièrement. On parle de centaines, voire de milliers de versions, allant des plus connues aux petites perles locales ciblant des régions ou secteurs spécifiques.
  • Zeus (Zbot) : Le roi des voleurs de données financières. Repéré en 2007, Zeus est célèbre pour ses braquages bancaires et son talent à créer des botnets, tout en échappant aux radars grâce à ses techniques furtives.

  • SpyEye : Repéré vers 2009, il s'est rapidement imposé comme le concurrent de Zeus. Ce malware vole les identifiants bancaires grâce au keylogging et au form grabbing, permettant ainsi des transactions frauduleuses sans que la victime ne s'en aperçoive.

  • Ursnif (Gozi) : Un autre dinosaure, actif depuis plus de 10 ans. Ursnif, expert en vol de données bancaires et d’infos personnelles, est modulable et sait se faire discret. Généralement diffusé par des e-mails de phishing.

  • Agent Tesla : Depuis 2014, ce spyware agit comme un keylogger et un cheval de Troie à accès distant (RAT), récoltant tout ce que vous tapez et bien plus encore. Distribué via des pièces jointes malveillantes, évidemment.

  • LokiBot : Détecté en 2015, LokiBot vole des identifiants et des portefeuilles crypto sur plusieurs plateformes. Modulaire, il permet de télécharger d'autres malwares et d'obtenir un accès à distance. Le tout, encore une fois, via des e-mails malveillants.

  • TrickBot : En 2016, TrickBot naît comme un cheval de Troie bancaire. Aujourd'hui, il lance des rançongiciels et prend le contrôle de vos systèmes. C'est l'une des menaces les plus sophistiquées, se propageant par des campagnes de spam.

  • Raccoon Stealer : Apparu en 2019, celui-ci séduit même les cybercriminels novices. Simple, efficace, il vole mots de passe, cookies de session et portefeuilles crypto, le tout diffusé via des e-mails malveillants.

  • Redline Stealer : Arrivé en 2020, ce petit nouveau sait déjà voler mots de passe et données sensibles tout en facilitant des attaques secondaires. Il se cache souvent dans des publicités malveillantes ou des logiciels piratés. Gare aux téléchargements douteux !

Conclusion :

Les InfoStealers, ces petits malwares malins, se spécialisent dans le vol d'informations sensibles une fois l'accès initial obtenu. Ils ciblent tout, des données personnelles et financières aux identifiants permettant des déplacements latéraux dans les réseaux ou des extorsions. Comprendre leur fonctionnement devient crucial pour les entreprises qui veulent, bien sûr, éviter d'être les prochaines victimes d'une attaque sophistiquée.

@NOP_FIX 2025