Les chercheurs en cybersécurité mettent en garde contre deux logiciels malveillants de vol d’informations différents, nommés FFDroider et Lightning Stealer, qui sont capables de siphonner des données et de lancer de nouvelles attaques.

« Conçu pour envoyer des informations d’identification et des cookies volés à un serveur de commande et de contrôle, FFDroider se déguise sur les machines des victimes pour ressembler à l’application de messagerie instantanée » Telegram «  », ont déclaré les chercheurs de Zscaler ThreatLabz, Avinash Kumar et Niraj Shivtarkar, dans un rapport publié la semaine dernière.

Les voleurs d’informations, comme leur nom l’indique, sont équipés pour collecter des informations sensibles à partir de machines compromises, telles que des frappes au clavier, des captures d’écran, des fichiers, des mots de passe enregistrés et des cookies de navigateurs Web, qui sont ensuite transmises à un domaine distant contrôlé par l’attaquant.

FFDroider est distribué via des versions piratées d’installateurs et de logiciels gratuits dans le but principal de voler des cookies et des informations d’identification associés aux plateformes de médias sociaux et de commerce électronique populaires et d’utiliser les données pillées pour se connecter aux comptes et capturer d’autres informations personnelles liées au compte.

Les navigateurs Web ciblés par le malware incluent Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft Edge. Les sites Web ciblés englobent Facebook, Instagram, Twitter, Amazon, eBay et Etsy.

« Le voleur se connecte aux plateformes de médias sociaux des victimes à l’aide de cookies volés et extrait des informations de compte comme Facebook Ads-manager pour diffuser des publicités malveillantes avec des méthodes de paiement stockées et Instagram via API pour voler des informations personnelles »,

FFDroider est également livré avec une fonctionnalité de téléchargement pour se mettre à niveau avec de nouveaux modules à partir d’un serveur de mise à jour qui lui permet d’étendre son ensemble de fonctionnalités au fil du temps, permettant aux acteurs malveillants d’abuser des données volées comme vecteur d’accès initial à une cible.

Le voleur de foudre fonctionne de la même manière en ce sens qu’il peut voler des jetons Discord, des données de portefeuilles de crypto-monnaie et des détails concernant les cookies, les mots de passe, les cartes de crédit et l’historique de recherche de plus de 30 navigateurs basés sur Firefox et Chromium, qui sont tous exfiltrés. à un serveur au format JSON.

« Les voleurs d’informations adoptent de nouvelles techniques pour devenir plus évasifs », ont déclaré les chercheurs de Cyble, ajoutant qu’il « a vu des groupes de rançongiciels tirer parti des voleurs d’informations pour obtenir un accès initial au réseau et, éventuellement, exfiltrer des données sensibles ».

Le développement intervient alors que les logiciels malveillants voleurs deviennent de plus en plus courants dans différentes campagnes d’attaque au cours des derniers mois, en partie pour combler le vide laissé par la sortie de Raccoon Stealer du marché fin mars en raison de la guerre en cours en Ukraine.

En février 2022, Cyble Research a divulgué les détails d’une menace émergente appelée Jester Stealer qui est conçue pour voler et transmettre les identifiants de connexion, les cookies, les informations de carte de crédit ainsi que les données des gestionnaires de mots de passe, des messagers de chat, des clients de messagerie, des portefeuilles cryptographiques et des applications de jeu. attaquants.

Depuis lors, au moins trois voleurs d’informations différents ont émergé dans la nature, dont BlackGuard, Mars Stealer et META, dont le dernier a été observé via des campagnes de malspam pour collecter des données sensibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *