object.title
Infostealers : investiguer la menace cybercriminelle dans son écosystème

Retour sur une conférence animée par Livia Tibirna, Quentin Bourgue, Pierre Le Bourhis

Les infostealers sont des malwares conçus pour collecter des données sensibles, et plus particulières des données d'iauthentifications, afin de les envoyer à l’attaquant.

La menace des « infostealers », fait de plus en plus de victimes, que ça soit des particuliers ou des entreprise. Non nouvelle mais de plus en plus utilisées, la hausse de ces attaques s'explique notamment par la démocratisation de cette technique dans l'écosystème cybercriminel russophone, ainsi que la professionnalisation des activités associées.

Les groupes d’attaquants structurent leurs différentes activités, s’organisent en services puis mettent en commun les informations récoltées afin de mieux gérer la vente de ces données.

Ils vont même jusqu’à proposer du Malware as a Service (MaaS). Ces solutions clés en main permettent à n’importe quelle personne mal intentionnée, sans compétence particulière, de mener des attaques.

Les groupes d’attaquants font appels à des « traffers », des personnes avec un profil technique, de véritables acteurs de la menace ! 

Leur rôle est de gérer les menaces en redirigeant les utilisateurs vers le contenu malveillant. Leur but est donc de propager les infostealers en masse aux victimes. Ils utilisent les ressources fournies par le groupe d’attaquant, en échange d’une partie des revenus.

Ce mode opératoire permet aux groupes responsables de ces attaques de ne pas être inquiétés dans la plupart des pays, car ils ne les mènent pas directement.

Les moyens d’attaque les plus utilisés sont :

  • Malspam/phishing : l'envoi de mail avec un contenu malveillant, par exemple une pièce jointe infectée, un lien vers un site frauduleux, etc...
  • Logiciel cacké : ils sont une source d'infection très appréciée par les pirates. Cela peut être utilisé via les plateformes de torrents, ou des vidéos Youtube présentant un crack avec un lien en commentaire. Ces attaques sont aussi appelés chaine d’infection 911.
  • Malvertising/Search Engine Optimization : c’est une méthode d’infection via les recherches internets. Le malvertising est un domaine malveillant mis en avant par la publicité du moteur de recherche (google advise par exemple). La Search Engine Optimization (SEO) est le fait de créer des domaines malveillants proposants par exemple des cracks pour des jeux ou logiciels, permettant de diffuser la charge malveillante.

La vente est donc une partie importante de ce business. Elle peut se décomposer comme ceci :

  • Ventes d’exploits et d’outils pour les traffers : cela va du template pour un faux site (impôts, amende, banque, …) à la liste de mail pour du phishing ou des numéros de téléphone.
  • Vente des données/logs : qualifiés ou non, parsés ou non, ils peuvent être vendus à l’unité ou en masse. Des logs qualifiés et parsés sont vendus plus chers que des logs lambda non parsés.

Pour lutter contre cela il existe des méthodes d’investigations :

  • Le monitoring sur les différents canaux de diffusion, comme les forums, Télégram et plus récemment sur Discord, permet de surveiller la mise en vente des nouveaux malwares. Les vendeurs, devant en général prouver leur sérieux, montrent des preuves du fonctionnement et/ou des données/logs volés.
  • Le tracking : suivre les infrastructures de distribution, estimer l’impact et remonter les chaines de serveurs (command & control), créer et suivre les détections des signatures YARA.
  • Les analyses en sandbox : elles permettent de décortiquer le malware, d'analyser son fonctionnement, son code et de remonter les chaines de command & control.
  • Le suivi des payloads distribués sur internet : via les moteurs de recherches ou autre, cela peut permettre d’analyser les méthodes de distribution et de remonter les chaines de command & control.

Afin de renforcer la protection des entreprises, il est indispensable de comprendre le fonctionnement du malware, de suivre la menace dans le temps, sa propagation et son évolution. Le marché du malware, et particulièrement de l’infostealer évolue très rapidement. On peut dire aujourd'hui qu’il arrive à maturité, dans le sens où les groupes de pirates sont maintenant très organisés et réactifs.

Ils restent dans une zone grise de la légalité en ne réalisant pas ou peu d’attaque eux-mêmes, mais en passant par les traffers. Ce marché est donc très lucratif, les entreprises doivent donc s’adapter en permanence et ne pas négliger la sécurité de leurs infrastructures ainsi que la formation et la sensibilisation des employés.

En 2022, l'ANSSI a publié un document de synthèse sur les menaces liéesaux vols de cookies.

Guillaume GAUTHIER

Ingénieur Sécurité Réseau, Squad