Pas moins de 34 gangs russophones distribuant des logiciels malveillants voleurs d’informations selon le modèle du voleur en tant que service ont volé pas moins de 50 millions de mots de passe au cours des sept premiers mois de 2022. « La valeur du marché souterrain des journaux volés et des détails de carte compromis est estimée à environ 5,8 millions de dollars », a déclaré Group-IB, dont le siège est à Singapour, dans un rapport partagé avec breachtrace. Outre le pillage des mots de passe, les voleurs ont également récolté 2,11 milliards de fichiers de cookies, 113 204 portefeuilles cryptographiques et 103 150 cartes de paiement. La majorité des victimes se trouvaient aux États-Unis, suivis du Brésil, de l’Inde, de l’Allemagne, de l’Indonésie, des Philippines, de la France, de la Turquie, du Vietnam et de l’Italie. Au total, plus de 890 000 appareils dans 111 pays ont été infectés au cours de la période. Group-IB a déclaré que les membres de plusieurs groupes d’arnaqueurs qui propagent les voleurs d’informations ont déjà participé à l’opération Classiscam.
Ces groupes, qui sont actifs sur Telegram et comptent environ 200 membres en moyenne, sont hiérarchiques, composés d’administrateurs et de travailleurs (ou trafiquants), ces derniers étant chargés de conduire les utilisateurs sans méfiance vers des voleurs d’informations comme RedLine et Raccoon. Ceci est réalisé en créant des sites Web d’appâts qui se font passer pour des entreprises bien connues et incitent les victimes à télécharger des fichiers malveillants. Les liens vers ces sites Web sont, à leur tour, intégrés dans les critiques de vidéos YouTube pour les jeux et loteries populaires sur les réseaux sociaux, ou partagés directement avec les artistes NFT.
« Les administrateurs donnent généralement aux travailleurs à la fois RedLine et Racoon en échange d’une part des données ou de l’argent volés », a déclaré la société. « Certains groupes utilisent trois voleurs en même temps, tandis que d’autres n’en ont qu’un dans leur arsenal. » Suite à un compromis réussi, les cybercriminels colportent les informations volées sur le dark web pour un gain monétaire. Le développement met en évidence le rôle crucial joué par Telegram dans la facilitation d’une gamme d’activités criminelles, notamment en fonctionnant comme une plaque tournante pour annoncer les mises à jour de produits, offrir un support client et exfiltrer des données à partir d’appareils compromis. Les résultats font également suite à un nouveau rapport de SEKOIA, qui a révélé que sept équipes de trafiquants différentes ont ajouté un voleur d’informations prometteur connu sous le nom d’Aurora à leur ensemble d’outils. « La popularité des stratagèmes impliquant des voleurs peut s’expliquer par la faible barrière à l’entrée », a expliqué Group-IB. « Les débutants n’ont pas besoin d’avoir des connaissances techniques avancées car le processus est entièrement automatisé et la seule tâche du travailleur est de créer un fichier avec un voleur dans le bot Telegram et de générer du trafic vers celui-ci. »