Le piratage du spécialiste français du cloud gaming Shadow a été revendiqué par les administrateurs de la chaîne Telegram de l’infostealer Epsilon, vient de découvrir la firme de renseignement sur les menaces Sekoia. Comme l’a constaté ZDnet.fr, un message daté du 27 octobre sur ce compte de messagerie fait effectivement état de ce piratage datant de la première partie du mois d’octobre.
“La base de données de Shadow contient 545 000 utilisateurs”, affirment ainsi les administrateurs d’Epsilon dans ce message. “Nous disposons également de la base de données d’un jeu vidéo appelé GladiaBots, avec 251 000 utilisateurs”, ajoutent-ils en annonçant la mise en place d’un nouveau service frauduleux pour fournir des informations sur les utilisateurs des deux plateformes.
« Chat noir » et « Benef »
Comme le remarque Sekoia, les deux administrateurs d’Epsilon, “Chat noir” et “Benef”, sont tous les deux francophones. La licence de l’infostealer, un type de logiciel malveillant voleur de mots de passe ou d’autres données d’identification, est vendue 15 dollars par semaine ou 35 dollars par mois. Mais ces derniers “mènent un large éventail d’activités malveillantes”, souligne l’entreprise de cybersécurité.
Les messages postés sur Telegram dans un channel administré par “Benef” suggèrent effectivement que les deux administrateurs pataugent dans les activités frauduleuses, de la vente d’informations financières à celles de listes d’identifiants et de mots de passe par exemple. A la création de ce channel, en octobre 2023, “Benef” avait par exemple annoncé que des informations bancaires seraient partagées tous les 25 nouveaux membres.
Ciblage des gamers français
Selon l’entreprise Sekoia, Epsilon est, avec un autre infostealer Doenerium, l’un des programmes malveillants utilisés dans une campagne en cours depuis cet été contre la communauté des gamers français. “Le ciblage des joueurs n’est pas récent”, convient l’entreprise.
Mais en juillet dernier, remarque-t-elle, des comptes d’influenceurs ont été visés dans une campagne inédite, qui commençait par un message de hameçonnage sur Discord ou en message personnel promettant un accès exclusif à un nouveau jeu. Le mois dernier, le P-DG de Shadow avait justement expliqué que l’un de ses employés avait été ciblé sur Discord par un pirate qui, sous couvert de lui signaler le téléchargement d’un jeu sur Steam, lui avait en fait envoyé un lien avec un logiciel malveillant.
Faible taux de détection
Les faux sites identifiés par Sekoia servant soi-disant à télécharger des jeux vidéos déclenchaient en réalité le téléchargement d’un infostealer. Ces derniers étaient alors dissimulés sous la forme d’une fausse application Electron.
Une famille de malwares, rappelle Sekoia, qui n’est pas encore très bien détectée par les anti-virus. L’entreprise de cybersécurité recommande de télécharger ses programmes depuis les sources officielles et d’envisager une réinitialisation des ordinateurs infectés, ce genre de logiciels malveillants étant très persistants.