Derrière les trafics de Genesis Market, l’essor des infostealers

Stealc, ce nouvel infostealer dont il va falloir se méfier


Si Genesis Market a pris une telle ampleur, c’est aussi à cause de l’essor des infostealers. Le succès de cette plateforme de revente d’accès volés rappelle en effet la place grandissante prise dans l’écosystème de la cybercriminalité par ces programmes malveillants conçus pour voler des informations sur des appareils infectés.

Le marché en ligne Genesis Market, démantelé la semaine dernière par Europol, la police néerlandaise et le FBI, était en effet devenu l’une des plaques tournantes de la revente d’informations et de cookies d’identification. Active depuis mars 2018, la plateforme est soupçonnée par la justice américaine d’avoir proposé à la vente plus de 80 millions d’accès compromis.

Vol de cryptomonnaies

Certes, comme le souligne l’entreprise de cybersécurité SocRadar, il existe d’autres méthodes pour voler des identifiants, comme le bourrage d’identifiant, les attaques par force brute ou par tables pré-calculées (rainbow table). Mais, pour l’entreprise, le marché en ligne était d’abord alimenté en matière première par les campagnes d’infostealers, comme par exemple Raccoon, AZORult ou RedLine.

Cette famille de logiciels compte également dans ses rangs les malwares Redline, Mars ou encore BlackGuard, pour ne citer qu’eux.

Une menace en forte évolution qui s’est développée d’abord en visant le vol de cryptomonnaies, explique à ZDNet.fr Soufyane Sassi, un expert de Recorded Future. Une fois les accès à ces informations financières filtrés, le solde restant et les autres accès compromis sont mis en vente par les opérateurs de ce genre de logiciels. Ce sont des informations qui les intéressent moins, ajoute-t-il.

Qualification des accès

La plateforme Genesis permettait justement de mieux qualifier les accès volés, et donc de les vendre plus cher, remarquait Livia Tibirna lors de la dernière conférence sur la réponse aux incidents et l’investigation numérique (Coriin), qui avait lieu à Lille lors du Forum international de la cybersécurité. Cette analyste travaille chez Sekoia, une entreprise de cybersécurité qui a récemment identifié un nouvel infostealer, stealc.

Sur Genesis, les acheteurs pouvaient ainsi filtrer leurs cibles par pays, services visés ou encore de se procurer de précieux cookies d’authentification, une façon de contourner l’authentification multifactorielle. Mais la plateforme n’était que l’une des solutions de revente pour ce genre de marchandise, évaluée à un prix de vente allant de 1 dollar à 150 dollars, relevait Cybelangel.

On retrouve également des accès volés vendus ou donnés en gros sur d’autres forums ou sur des canaux Telegram spécialisés, par exemple.

Petite cybercriminalité

A l’image de la cybercriminalité, l’écosystème des infostealers s’est professionnalisé et structuré ces dernières années « avec la mise en commun de ressources, de connaissances et des places de marché accessibles », soulignait également Livia Tibirna. Situés au début de la chaîne d’attaque, ces programmes relèvent plutôt de la petite cybercriminalité. Mais ils ont un rôle important, pouvant être à l’origine de la compromission d’accès qui seront ensuite employés dans une attaque par rançongiciel, par exemple.

Et ils peuvent être utilisés par des groupes plus ambitieux comme Lapsus$, qui s’était appuyé sur RedLine pour obtenir des accès. Outre les développeurs, ces programmes malveillants vendus l’équivalent d’une centaine d’euros sont maniés par les traffers, ces opérateurs spécialisés dans leur exploitation et rémunérés à la commission. Ces derniers, regroupés en équipes, mixent plusieurs techniques pour inciter leurs victimes à installer l’infostealer.

Par exemple, le piratage d’une chaîne YouTube va permettre d’inciter des internautes à installer un logiciel cracké, sans licence, en partageant un lien en réalité vérolé. Les traffers travaillent également leur référencement, pour faire monter en tête des résultats des moteurs de recherche des sites douteux proposant là aussi le téléchargement de logiciels crackés. Ils achètent enfin des espaces de publicité sur Google, répondant par exemple à une requête relative au téléchargement d’un logiciel de visioconférence. Une technique très efficace qui permet de profiter de la confiance très élevée accordée au moteur de recherche.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.