Avertissement : Un logiciel malveillant dangereux attaque les navigateurs web des utilisateurs.
Une nouvelle variante de logiciel malveillant appelée Storm suscite l'inquiétude des experts en cybersécurité car elle peut contourner de nombreuses mesures de sécurité modernes et collecter des données sensibles à partir des navigateurs Web.
Des chercheurs de la société de sécurité américaine Varonis viennent de publier une découverte remarquable : un nouveau type de logiciel malveillant capable de voler des informations peut collecter un large éventail de données importantes à partir des navigateurs Web des utilisateurs, notamment les comptes, les mots de passe, les cookies de session et même les portefeuilles de cryptomonnaies.
Les logiciels malveillants voleurs d'informations ne sont pas un concept nouveau ; ce type de logiciel malveillant existe depuis le milieu des années 2000. Cependant, la nouvelle variante appelée Storm présente une sophistication accrue, notamment dans sa capacité à contourner les mécanismes de sécurité modernes.
Comment fonctionne le logiciel malveillant Storm : il ne se déchiffre pas sur la machine de la victime.
En général, les logiciels malveillants qui volent des informations s'exécutent directement sur la machine de la victime. Ils exploitent les bases de données locales (comme SQLite) pour extraire les identifiants de connexion stockés dans le navigateur.
Cependant, la situation a évolué lorsque Google a introduit le chiffrement lié aux applications dans Google Chrome version 127 (juillet 2024). Ce mécanisme lie la clé de chiffrement à l'application navigateur elle-même, rendant ainsi le déchiffrement des données directement sur l'appareil plus complexe.
Pour contourner cette protection, Storm emploie une tactique totalement différente : au lieu de déchiffrer les données sur l’appareil de la victime, le logiciel malveillant collecte les données chiffrées et les envoie au serveur de l’attaquant.
Ici, l'intégralité du processus de déchiffrement et d'analyse se déroule à distance. Cela permet à Storm d'échapper à la détection de nombreux outils de sécurité des terminaux, qui ne surveillent généralement les activités de déchiffrement qu'en local.
Quelles données pourraient être volées ?
Storm est capable de collecter la quasi-totalité de l'« empreinte numérique » d'un utilisateur, notamment :
- Compte et mot de passe enregistrés.
- Cookie de session de connexion.
- Remplissage automatique des données.
- Jeton du compte Google.
- Informations de carte de crédit.
- Historique de navigation.
- Données provenant des dossiers utilisateur et application.
- Portefeuille de cryptomonnaies.
Plus inquiétant encore, le détournement des cookies de session permet aux attaquants de se connecter aux comptes sans avoir besoin d’un mot de passe ou d’une authentification à deux facteurs (2FA).
Contourner les outils de sécurité grâce au traitement à distance.
L'un des aspects les plus dangereux de Storm est sa capacité à « se cacher ». Étant donné que les données sont déchiffrées sur des serveurs contrôlés par les pirates informatiques, les outils de sécurité présents sur l'ordinateur de l'utilisateur sont quasiment incapables de détecter toute activité suspecte.
De plus, Storm est compatible avec un large éventail de navigateurs, des navigateurs basés sur Chromium à Firefox. Cela élargit considérablement le champ d'application de l'attaque.
De plus, le logiciel malveillant enregistre automatiquement les événements, les activités ou les données survenant dans le système après le déchiffrement, ce qui permet aux pirates d'accéder facilement aux sessions de connexion volées et de les réutiliser.
Selon Varonis, Storm est vendu à moins de 1 000 dollars par mois, un coût relativement bas qui en fait un outil accessible à de nombreux groupes de cyberattaques.
En effet, ce logiciel malveillant a été détecté dans de nombreuses campagnes ciblant des comptes financiers, les réseaux sociaux et les cryptomonnaies dans de nombreux pays, y compris aux États-Unis.
Que peuvent faire les utilisateurs pour se protéger ?
Face à la sophistication croissante des menaces, les utilisateurs individuels ne doivent pas se montrer négligents. Voici quelques mesures simples mais efficaces :
- Supprimez régulièrement les cookies de votre navigateur ou configurez-les pour qu'ils se suppriment automatiquement.
Évitez de consulter des sites web d'origine inconnue.
- Ne téléchargez pas de logiciels provenant de sources non fiables.
- Utilisez un gestionnaire de mots de passe.
- Veillez à toujours maintenir votre système d'exploitation et vos logiciels de sécurité à jour.
- Effectuez des analyses antivirus régulières.
Face à l'utilisation croissante de l'intelligence artificielle par les pirates informatiques pour développer des logiciels malveillants, la frontière entre sécurité et risque devient de plus en plus floue. La protection proactive des données personnelles est donc plus importante que jamais.
Storm démontre clairement que les cybermenaces évoluent bien plus vite que la plupart des utilisateurs ne le pensent. Et dans cette course, la vigilance est le premier et le plus important rempart.
