Un nouveau logiciel malveillant a été découvert, ciblant les navigateurs Web et les portefeuilles électroniques pour voler les informations des utilisateurs.

Un nouveau rapport publié le 26 mai par Trend Micro, l'un des plus grands fournisseurs mondiaux de logiciels de cybersécurité et antivirus, montre que le logiciel malveillant Bandit Stealer a le potentiel de s'étendre à d'autres plateformes car il est développé dans le langage de programmation Go, ce qui peut permettre une compatibilité multiplateforme.

Photo d'illustration.

Selon des experts en sécurité, le logiciel malveillant Bandit Stealer cible désormais le système d'exploitation Windows en utilisant un outil en ligne de commande légitime appelé runas.exe qui permet aux utilisateurs d'exécuter des programmes en tant qu'utilisateur différent avec des autorisations différentes.

L'objectif de ce logiciel malveillant est de trouver un moyen d'élever ses privilèges et de s'exécuter en tant qu'administrateur, contournant ainsi les mesures de sécurité du système d'exploitation afin de collecter une grande quantité de données utilisateur.

Cela suggère que des mesures visant à atténuer les contrôles d'accès de Microsoft pour empêcher l'exécution non autorisée de logiciels malveillants lorsque les administrateurs sont invités à fournir des informations d'identification sont nécessaires.

Selon Trend Micro, l'utilisation de la commande runas.exe permet aux utilisateurs d'exécuter des programmes en tant qu'administrateur ou depuis n'importe quel autre compte utilisateur disposant des privilèges appropriés, offrant ainsi un environnement plus sécurisé pour exécuter des applications critiques ou effectuer des tâches au niveau système.

« Cet utilitaire est particulièrement utile dans les cas où le compte utilisateur actuel ne dispose pas des privilèges suffisants pour exécuter une commande ou un programme particulier », a ajouté Trend Micro.

Le logiciel malveillant Bandit Stealer utilise des vérifications pour déterminer s'il s'exécute dans un environnement isolé et protégé (également appelé sandbox) afin de tenter de contourner et de dissimuler sa présence sur le système infecté.

Le logiciel malveillant tente également de modifier la base de données du Registre Windows avant de lancer des activités de collecte de données, notamment la collecte de données personnelles et financières stockées dans les navigateurs Web et les portefeuilles numériques des utilisateurs.

Le logiciel malveillant Bandit Stealer serait distribué via des courriels d'hameçonnage contenant un fichier d'hameçonnage, lequel renferme un virus de pièce jointe Microsoft Word apparemment inoffensif, dans le but de distraire les utilisateurs tout en déclenchant l'infection.

La société de sécurité Trend Micro a déclaré avoir également découvert un faux programme d'installation pour Heart Sender, un service qui automatise l'envoi de courriels et de SMS indésirables à de multiples destinataires, et qui est utilisé pour inciter les utilisateurs à exécuter le logiciel malveillant intégré.

Cette décision intervient alors que la société de cybersécurité a découvert un voleur d'informations basé sur Rust ciblant les systèmes d'exploitation Windows, utilisant un compte de service cloud GitHub Codespaces contrôlé par un attaquant comme canal de vol pour dérober les identifiants de navigateur Web, les cartes de crédit, les portefeuilles de cryptomonnaies et les jetons des victimes sur les applications de chat Steam et Discord.

Le logiciel malveillant utilise une tactique relativement inhabituelle, assurant sa persistance sur le système en modifiant le client Discord installé pour y injecter du code JavaScript conçu pour collecter des informations depuis l'application.

Ces nouvelles découvertes font suite à l'apparition de plusieurs souches de logiciels malveillants telles que Luca, StrelaStealer, DarkCloud, WhiteSnake et Invicta Stealer, dont certaines se propagent via des courriels indésirables et des versions hameçonnées de logiciels populaires.

Une autre tendance notable est l'utilisation de vidéos YouTube pour promouvoir des logiciels piratés via des chaînes compromises comptant des millions d'abonnés.

Les données amassées par les voleurs peuvent profiter aux opérateurs de nombreuses manières, leur permettant d'exploiter des failles telles que le vol d'identité, le gain financier, les violations de données, les attaques par bourrage d'identifiants et la prise de contrôle de comptes.

Les informations volées peuvent également être vendues à d'autres acteurs, servant de base à d'autres attaques pouvant aller de campagnes ciblées à des attaques par rançongiciel.

Ces résultats mettent en évidence l'évolution continue des logiciels de vol de données vers une menace plus dangereuse, similaire au marché des logiciels malveillants en tant que service (MaaS).

Les données du département de réponse en cybersécurité SecureWorks Counter Threat Unit (CTU) de la société informatique américaine Dell montrent que le marché de la criminalité liée au vol d'informations est en forte croissance dans le monde, le marché russe à lui seul ayant augmenté de 670 % entre juin 2021 et mai 2023.

« Nous constatons l'existence d'une économie souterraine complète et d'une infrastructure de soutien bâties autour de logiciels espions utilisés pour collecter des informations personnelles », a déclaré Don Smith, vice-président de la CTU. « L'action coordonnée des forces de l'ordre à l'échelle mondiale a un impact significatif, mais les cybercriminels sont très doués pour adapter leurs méthodes de commercialisation. »