Les attaques aux rançongiciels sont désormais un fléau bien connu et particulièrement visible, comme en témoigne la récente attaque qui, depuis plus d’un mois, perturbe l’opérateur postal britannique Royal Mail. Mais d’autres secteurs de la cybercriminalité prennent exemple sur le business florissant du ransomware et cherchent à se développer. C’est notamment le cas des stealers ou infostealers, des logiciels malveillants conçus pour voler des informations sur les appareils infectés.
Leur but n’est pas d’espionner l’utilisateur en temps réel, mais plutôt de récupérer toutes les informations intéressantes présentes sur son appareil, de les exfiltrer puis de disparaître sans laisser de trace. Si votre compte YouTube est soudainement usurpé par un inconnu pour diffuser, par exemple, des arnaques aux cryptomonnaies, il y a des chances que vous ayez été victime d’un de ces logiciels malveillants qui a récolté vos identifiants. Une menace bien moins visible que le rançongiciel, mais qui se développe dans un écosystème tout aussi actif.
De nombreuses familles de logiciels malveillants se spécialisent dans cette activité, dont les plus connus sont Redline, Vidar ou Raccoon Stealer ; et au-delà de ces grandes familles on trouve de multiples variantes : « On voit beaucoup de logiciels malveillants qui reprennent le code de ces malwares ayant fuité et qui l’arrangent à leur sauce, explique Pierre Le Bourhis, chercheur pour la société de sécurité Sekoia. Et, depuis un an, on voit aussi du code de ce type proposé librement sur GitHub à des fins de recherche, mais on sait très bien qu’il y a des développeurs opportunistes qui les récupèrent. »
Le prix de ces logiciels malveillant est généralement assez accessible : comptez entre 50 et 200 dollars (47 et 186 euros) pour l’accès à un stealer sur des forums cybercriminels, où les groupes rivalisent en publicités et offres promotionnelles pour attirer le chaland. La plupart du temps, les créateurs de ces logiciels invitent ensuite les potentiels clients intéressés à les joindre par messages privés ou directement sur leur chaîne Telegram pour négocier et conclure les ventes.
Pour les chercheurs de Sekoia, il y a une distinction entre les développeurs de ces malwares et leurs opérateurs, baptisés « traffers » dans l’écosystème russe – de nombreux forums et sites spécialisés dans ce type de cybercriminalité sont en effet russophones. « Ces équipes vont acheter l’accès à un ou plusieurs infostealers, les adapter à leurs besoins, se charger de les diffuser chez des victimes et récupérer les données ainsi volées », détaille M. Le Bourhis.
Il vous reste 53.16% de cet article à lire. La suite est réservée aux abonnés.