Un nouveau voleur d’informations appelé Stealc qui fait l’objet d’une publicité sur le dark web pourrait devenir un concurrent digne d’autres logiciels malveillants de son acabit.
« L’acteur de la menace présente Stealc comme un voleur complet et prêt à l’emploi, dont le développement s’est appuyé sur les voleurs Vidar, Raccoon, Mars et RedLine », a déclaré SEKOIA dans un rapport de lundi.
La société française de cybersécurité a déclaré avoir découvert plus de 40 échantillons de Stealc distribués dans la nature et 35 serveurs de commande et de contrôle (C2) actifs, ce qui suggère que le malware gagne déjà du terrain parmi les groupes criminels.
Stealc, commercialisé pour la première fois par un acteur nommé Plymouth sur les forums clandestins russophones XSS et BHF le 9 janvier 2023, est écrit en C et est doté de capacités pour voler des données à partir de navigateurs Web, de portefeuilles cryptographiques, de clients de messagerie et d’applications de messagerie.
Le malware-as-a-service (MaaS) se vante également d’un récupérateur de fichiers « personnalisable » qui permet à ses acheteurs d’adapter le module pour siphonner les fichiers qui les intéressent. Il implémente en outre des capacités de chargeur pour déployer des charges utiles supplémentaires.
SEKOIA a évalué avec « une grande confiance que son développeur présumé s’est rapidement imposé comme un acteur de menace fiable, et que son logiciel malveillant a gagné la confiance des cybercriminels traitant avec des voleurs d’informations ».
Parmi les vecteurs de distribution utilisés pour fournir Stealc figurent des vidéos YouTube publiées à partir de comptes compromis qui renvoient à un site Web vendant des logiciels piratés (« rcc-software[.]com »).
Cela indique également que les utilisateurs recherchant des moyens d’installer des logiciels piratés sur YouTube sont une cible, reflétant la même tactique adoptée par un autre voleur d’informations surnommé Aurora.
« Étant donné que les clients de Stealc MaaS possèdent une version de son panneau d’administration pour héberger le serveur de voleur C2 et générer eux-mêmes des échantillons de voleur, il est probable que la version fuira dans les communautés souterraines à moyen terme », a ajouté la société.
Selon le fournisseur d’antivirus Avast, FormBook, Agent Tesla, RedLine, LokiBot, Raccoon, Snake Keylogger et Arkei (avec son fork Vidar) représentaient les souches de logiciels malveillants voleurs les plus répandues au quatrième trimestre 2022.