Un nouveau logiciel malveillant découvert ciblant les navigateurs Web et les portefeuilles électroniques pour voler les informations des utilisateurs
(Baonghean.vn) - Des chercheurs en cybersécurité ont découvert un nouveau malware appelé Bandit Stealer qui cible de nombreux navigateurs Web et portefeuilles électroniques pour voler les informations des utilisateurs à l'échelle mondiale.
Un nouveau rapport publié le 26 mai par Trend Micro - l'un des plus grands fournisseurs mondiaux de logiciels de cybersécurité et d'antivirus - montre que le malware Bandit Stealer a le potentiel de s'étendre à d'autres plateformes car il est développé dans le langage de programmation Go, qui peut permettre une compatibilité multiplateforme.
 |
Photo d'illustration. |
Selon les experts en sécurité, le malware Bandit Stealer se concentre actuellement sur le ciblage du système d'exploitation Windows en utilisant un outil de ligne de commande légitime appelé runas.exe qui permet aux utilisateurs d'exécuter des programmes en tant qu'utilisateur différent avec des autorisations différentes.
L'objectif de ce malware est de trouver un moyen d'élever les privilèges et de s'exécuter en tant qu'accès administrateur, contournant ainsi efficacement les mesures de sécurité du système d'exploitation pour collecter de nombreuses données utilisateur.
Cela suggère que des mesures visant à atténuer les contrôles d'accès de Microsoft pour empêcher l'exécution non autorisée de logiciels malveillants lorsque les administrateurs sont invités à fournir des informations d'identification sont nécessaires.
Selon Trend Micro, en utilisant la commande runas.exe, les utilisateurs peuvent exécuter des programmes en tant qu'administrateur ou tout autre compte utilisateur avec les privilèges appropriés, offrant ainsi un environnement plus sécurisé pour exécuter des applications critiques ou effectuer des tâches au niveau du système.
« Cet utilitaire est particulièrement utile dans les cas où le compte utilisateur actuel ne dispose pas de privilèges suffisants pour exécuter une commande ou un programme particulier », a ajouté Trend Micro.
Le malware Bandit Stealer utilise des vérifications pour déterminer s'il s'exécute dans un environnement isolé et protégé (également appelé sandbox) pour tenter de contourner et de masquer sa présence sur le système infecté.
Le logiciel malveillant tente également de modifier la base de données du registre Windows avant de lancer des activités de collecte de données qui incluent la collecte de données personnelles et financières stockées dans le navigateur Web et le portefeuille numérique de l'utilisateur.
On pense que Bandit Stealer est distribué via des e-mails de phishing contenant un fichier de phishing, qui contient un virus de pièce jointe Microsoft Word apparemment inoffensif comme stratagème pour distraire les utilisateurs tout en déclenchant l'infection.
La société de sécurité Trend Micro a déclaré avoir également découvert un faux installateur pour Heart Sender, un service qui automatise le processus d'envoi de courriers électroniques et de SMS à plusieurs destinataires, qui est utilisé pour inciter les utilisateurs à lancer le logiciel malveillant intégré.
Cette décision est intervenue alors que la société de cybersécurité a découvert un voleur d'informations basé sur Rust ciblant les systèmes d'exploitation Windows, utilisant un compte de service cloud GitHub Codespaces contrôlé par un attaquant comme canal de vol pour capturer les informations d'identification du navigateur Web des victimes, les cartes de crédit, les portefeuilles de crypto-monnaie et les jetons sur les applications de chat Steam et Discord.
Le malware utilise une tactique relativement inhabituelle, parvenant à persister sur le système en modifiant le client Discord installé pour injecter du code JavaScript conçu pour récolter des informations à partir de l'application.
Ces nouvelles découvertes font suite à l'émergence de plusieurs souches de logiciels malveillants telles que Luca, StrelaStealer, DarkCloud, WhiteSnake et Invicta Stealer, dont certaines se propagent via des courriers indésirables et des versions de phishing de logiciels populaires.
Une autre tendance notable est l’utilisation de vidéos YouTube pour promouvoir des logiciels piratés via des chaînes compromises comptant des millions d’abonnés.
Les données accumulées par les voleurs peuvent profiter aux opérateurs de nombreuses manières, leur permettant de les exploiter à des fins telles que le vol d’identité, le gain financier, les violations de données, les attaques de bourrage d’informations d’identification et les prises de contrôle de comptes.
Les informations volées peuvent également être vendues à d’autres acteurs, servant de base à d’autres attaques pouvant aller de campagnes ciblées à des attaques par ransomware.
Ces résultats mettent en évidence l’évolution continue des logiciels de vol de données vers une menace plus dangereuse, similaire au marché des logiciels malveillants en tant que service (MaaS).
Les données de la division de réponse en matière de cybersécurité de l'unité de lutte contre les menaces (CTU) SecureWorks de Dell montrent que le marché des vols d'informations connaît une forte croissance dans le monde, le marché russe à lui seul ayant augmenté de 670 % entre juin 2021 et mai 2023.
« Nous observons une véritable économie souterraine et une infrastructure de soutien construite autour de logiciels espions utilisés pour collecter des informations personnelles », a déclaré Don Smith, vice-président de la CTU. « L'action mondiale coordonnée des forces de l'ordre a un impact significatif, mais les cybercriminels sont très doués pour remodeler leurs canaux d'accès au marché. »