Les chercheurs de la société de cybersécurité de Sekoia viennent de disséquer les rouages d’un nouvel infostealer, ces logiciels espions voleurs d’informations sensibles. Cette fois-ci, les experts en cybersécurité de cette entreprise française se sont intéressés à ACR Stealer. Ce programme malveillant est désormais commercialisé sur des forums de cybercriminels russophones.
Cette mise en vente, qui date de la fin février 2024, est à mettre au passif d’un certain SheldIO. Un internaute déjà bien connu des experts en cybersécurité. Il a été par exemple observé en train de vendre d’autres infostealers, AcridRain Stealer et Roca Loader. Sa nouvelle création, ACR Stealer, est vendue pour 250 dollars par mois, ou 700 dollars pour trois mois. C’est un prix “légèrement supérieur au prix moyen” observé sur ce marché malveillant, note l’entreprise.
Nouvelle version de GrMsk Stealer
Mais le nouveau logiciel espion de SheldIO, écrit en C++, semble d’abord être une nouvelle version d’un autre logiciel de ce type, GrMsk Stealer. Ce dernier avait été lancé en mai 2023, avec un succès mitigé. Les chercheurs de Sekoia n’avaient repéré qu’une douzaine de serveurs de commande et de contrôle, ainsi qu’une centaine d’échantillons entre août 2023 et avril 2024. Le programme malveillant s’inspire également de Virdar Stealer pour récupérer et désobscurcir son URL de commande et de contrôle.
Une analyse qui pousse les chercheurs de Sekoia à tabler sur le fait que GrMsk Stealer soit en réalité le troisième infostealer, au nom non divulgué, vendu par SheldIO. Actif depuis septembre 2022 sur des forums louches et sur des chaînes de messagerie Telegram, SheldIO est vraisemblablement le manager d’une équipe de programmeurs spécialisés dans le développement logiciel, estime Sekoia.
Un cybercriminel qui cherche à se faire un nom
Sur l’un de ses sites, le cybercriminel assure ainsi être actif depuis 2022. Il se vante de pouvoir voler les données de 35 navigateurs, 173 extensions et de 25 logiciels de messagerie. Mais pour les chercheurs de Sekoia, SheldIO n’a pas encore réussi à faire totalement ses preuves dans les sphères cybercriminelles.
Son dernier programme malveillant comporte d’ailleurs plusieurs lacunes, comme l’absence de “fonctionnalités sophistiquées d’anti-analyse et d’antidétection”, relève Sekoia. Le marché malveillant des infostealers est actuellement dominé par Lumma, Vidar et Stealc. Un écosystème qui s’est professionnalisé ces dernières années et au rôle important. Les accès compromis par des infostealers peuvent ensuite être revendus et réutilisés dans une attaque par rançongiciel, par exemple.