news 
cves 
 
 
 
 
#Quand un driver vulnérable permet aux malwares de prendre le contrôle de vos antivirus (BYOVD)
Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue

Date : 10 novembre 2024

Qu'est-ce qu'un InfoStealer et comment fonctionne-t-il ?

infostealer-cest-quoi
infostealer-cest-quoi

Les cyberattaques ne sont jamais le fruit du hasard, mais suivent une méthode précise. Le Cyber Kill Chain, développé par Lockheed Martin, décompose les étapes d'une attaque : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle (C2), et actions finales. Ces tactiques peuvent être cartographiées grâce à des modèles comme le cadre MITRE ATT&CK.

Après avoir obtenu un accès non autorisé, les attaquants installent des logiciels malveillants pour établir une persistence, puis utilisent le C2 pour garder un contrôle constant sur le système compromis. (persistence).

C'est là qu'entre en jeu l’InfoStealer. Ce malware est conçu pour voler des informations sensibles, qui peuvent être monétisées via extorsion ou revendues sur le marché noir. Pire, si les données incluent des identifiants (mots de passe, clés privées, tokens, etc.), les attaquants peuvent compromettre d’autres systèmes, aggravant l'attaque.

Cet article examine l’InfoStealer : ses cibles, son fonctionnement, et les souches les plus répandues. Mieux comprendre ce malware aide les organisations à mieux se préparer face à la complexité des cybermenaces actuelles. Et non, ignorer le problème ne le fera pas disparaître...

Alors, qu'est-ce qu'un InfoStealer ?

L'InfoStealer, comme son nom l’indique avec subtilité, est un logiciel malveillant conçu pour voler des données sensibles. Il s’attaque aux mots de passe, numéros de cartes bancaires, historiques de navigation, et tout ce qui a de la valeur. Le but ? Envoyer ces informations aux cybercriminels pour qu'ils en fassent bon usage : vol d’identité, gains financiers ou autres joyeusetés malveillantes.

Ces malwares infiltrent les systèmes via des e-mails de phishing, pièces jointes infectées ou sites compromis. Une fois installés, ils opèrent en toute discrétion, difficiles à repérer, utilisant des techniques d’évasion sophistiquées. Les plus avancés sont modulaires, capables de charger d'autres malwares selon ce qu'ils trouvent d’intéressant. Toujours plus malin, n'est-ce pas ?

Comment fonctionnent les InfoStealers ?

Les InfoStealers utilisent un éventail de techniques pour cibler et extraire des données spécifiques des systèmes infectés. Chaque variante de malware a ses propres capacités, allant du simple script au malware modulaire sophistiqué. Et n’oublions pas qu’ils peuvent aussi exploiter des outils natifs du système – une jolie technique appelée Living Off The Land (LOTL), où l'attaquant se sert des outils légitimes du système pour voler les données. Plutôt culotté, non ?

Chaque méthode cible des données ou périphériques spécifiques, en exploitant les vulnérabilités liées à leur utilisation, stockage ou transmission. La variété de ces techniques montre bien qu'une seule défense ne suffit pas : il faut se protéger contre tout un arsenal de stratégies d’infiltration. Parce que bon, pourquoi se contenter d’une seule attaque quand on peut diversifier ?

Quelques méthodes utilisées par les InfoStealers :

  • Keylogging : L’un des classiques ! Le malware enregistre chaque frappe au clavier, récupérant ainsi vos mots de passe, numéros de carte et autres infos sensibles.
  • Form Grabbing : Ici, le malware intercepte les données des formulaires web avant qu’elles ne soient chiffrées. Parfait pour voler identifiants et infos de paiement.
  • Clipboard Hijacking : Le malware surveille et vole tout ce qui passe dans le presse-papier.
  • Screen Capturing : Une capture d’écran au bon moment, par exemple quand vous tapez vos identifiants.
  • Browser Session Hijacking : En volant des cookies et des tokens de session, les attaquants peuvent se faire passer pour vous.
  • Credential Dumping : Le malware extrait les identifiants stockés sur votre système (navigateur, applications).
  • Attaques Man-in-the-Browser : Le malware injecte du code malveillant directement dans le navigateur, manipulant les données en temps réel.
  • Email Harvesting : Le malware fouille vos fichiers et e-mails à la recherche d’adresses pour lancer de nouvelles attaques.
  • Crypto-Wallet Harvesting : Il cherche les logiciels de portefeuille crypto, vole les clés privées et les fonds.

Quelques-uns des plus connus, pour certains on les appelle aussi des banking trojans :

Difficile de comptabiliser toutes les variantes d'InfoStealer, tant elles évoluent sans cesse et de nouvelles apparaissent régulièrement. On parle de centaines, voire de milliers de versions, allant des plus connues aux petites perles locales ciblant des régions ou secteurs spécifiques.

  • Zeus (Zbot) : Le roi des voleurs de données financières. Repéré en 2007, Zeus est célèbre pour ses braquages bancaires et son talent à créer des botnets.
  • SpyEye : Repéré vers 2009, il vole les identifiants bancaires grâce au keylogging et au form grabbing.
  • Ursnif (Gozi) : Actif depuis plus de 10 ans, expert en vol de données bancaires et modulable.
  • Agent Tesla : Depuis 2014, spyware et keylogger, distribué via des pièces jointes malveillantes.
  • LokiBot : Détecté en 2015, vole identifiants et portefeuilles crypto, modulaire et accessible à distance.
  • TrickBot : Lancé en 2016, cheval de Troie bancaire, lance des rançongiciels et contrôle des systèmes.
  • Raccoon Stealer : Apparu en 2019, vole mots de passe, cookies et portefeuilles crypto via e-mails malveillants.
  • Redline Stealer : Arrivé en 2020, vole mots de passe et données sensibles, souvent via publicités malveillantes.

Conclusion :

Les InfoStealers, ces petits malwares malins, se spécialisent dans le vol d'informations sensibles une fois l'accès initial obtenu. Ils ciblent tout, des données personnelles et financières aux identifiants permettant des déplacements latéraux dans les réseaux ou des extorsions. Comprendre leur fonctionnement devient crucial pour les entreprises qui veulent, bien sûr, éviter d'être les prochaines victimes d'une attaque sophistiquée.




#Quand un driver vulnérable permet aux malwares de prendre le contrôle de vos antivirus (BYOVD)

Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant

Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware

Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue

Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

projet-de-loi-resilience
#Projet de Loi sur la Résilience des Activités Vitales et Cybersécurité

binalyze-air
#Binalyze AiR - Le Superhéros de la Forensique Numérique

safepay-ransom
#SafePay Ransomware : Une Nouvelle Menace aux Techniques Sophistiquées

microsoft-abused-portal
#Le portail Microsoft 365 Admin utilisé pour envoyer des e-mails de sextorsion : quand la sécurité devient complice involontaire

github-backdooring-00
#Des commits malveillants sur GitHub : Une tentative de portes dérobées dans vos projets open source

glove-stealer
#Glove Stealer : Le nouveau malware qui se moque du chiffrement de cookies Chrome

fortinet-invisible
#FortiJump Higher : Fortinet et ses vulnérabilités « invisibles »

rustyattr-trojan
#RustyAttr Trojan : Le nouveau malware macOS du groupe Lazarus se rit des antivirus

shrinklocker-bitlocker
#Nouveau outil de déchiffrement ShrinkLocker : récupérez votre mot de passe BitLocker

roblox-games
#Roblox : Une Faille de Sécurité Expose 10 386 Comptes - Analyse Critique

Picard devanture
#Nom, prénom, coordonnées… 45.000 clients de Picard touchés par une fuite de données

Fuite massive MOVEit
#Fuite Massive de Données MOVEit : Des Hackers Exposent les Données des Employés d'Amazon, McDonald's et 1000+ Entreprises

Fickle Stealer malware
#Fickle Stealer : Le Malware Basé sur Rust qui Se Déguise en GitHub Desktop

Remcos RAT campagne de phishing
#Nouvelle campagne de phishing déployant Remcos RAT avec des techniques d'évasion avancées

Frag Ransomware attaque Veeam
#Frag Ransomware : une nouvelle menace exploite une vulnérabilité Veeam (CVE-2024-40711)

Clés RSA et AES cassées ?
#Les Clés de Chiffrement RSA et AES Cassées : Panique Inutile ou Procrastination Numérique ?

Phishing et IA générative
#Le Phishing 2.0 : Comment l'IA Générative Rend les Attaques Plus Persuasives et Difficiles à Détecter

infostealer-cest-quoi
#Qu'est-ce qu'un InfoStealer et comment fonctionne-t-il ?

CRONTRAP01
#CRON#TRAP : un nouveau malware infecte Windows en se cachant dans une machine virtuelle Linux pour échapper aux antivirus

android-vulnerability
#Google met en garde contre la vulnérabilité CVE-2024-43093 activement exploitée dans le système Android

@NOP_FIX 2025