Les créateurs de StealC, un voleur d’informations et téléchargeur de logiciels malveillants largement utilisé, ont publié sa deuxième version majeure, apportant de multiples améliorations en matière de furtivité et de vol de données.
La dernière version de StealC a en fait été mise à la disposition des cybercriminels en mars 2025, mais les chercheurs de Zscaler qui l’ont analysée viennent de publier un article détaillé.
Dans les semaines qui ont suivi sa sortie, plusieurs corrections de bugs mineurs et versions ponctuelles ont ajouté de nouvelles fonctionnalités, la dernière étant la version 2.2.4.
StealC est un malware léger de vol d’informations qui a gagné du terrain sur le Dark Web au début de 2023, vendant l’accès pour 200/ / mois.
En 2024, il a été repéré dans des campagnes de publicité malveillante à grande échelle et des attaques verrouillant les systèmes dans des modes de kiosque incontournables.
Fin 2024, il a été confirmé que le développement de StealC restait très actif, ses développeurs ajoutant un mécanisme de contournement pour les défenses de vol de cookies « de cryptage lié à l’application » de Chrome, permettant la « régénération » des cookies expirés pour le détournement de comptes Google.
Nouveau dans la dernière version
La version 2 (et ultérieure) a été annoncée en mars 2025. Selon l’analyse de Zscaler, il apporte les améliorations majeures suivantes:
- Améliorations de la distribution de la charge utile avec prise en charge des fichiers EXE, des packages MSI et des scripts PowerShell, et déclenchement configurable de la charge utile.
- Le cryptage RC4 a été ajouté pour les chaînes de code et les communications de commande et de contrôle (C2), avec des paramètres aléatoires dans les réponses C2 pour une meilleure évasion.
- Améliorations de l’architecture et de l’exécution avec de nouvelles charges utiles compilées pour les systèmes 64 bits, la résolution dynamique des fonctions d’API au moment de l’exécution et l’introduction d’une routine d’auto-suppression.
- Nouveau générateur intégré qui permet aux opérateurs de générer de nouvelles versions furtives à l’aide de modèles et de règles de vol de données personnalisées.
- Ajout de la prise en charge des robots Telegram pour les alertes en temps réel aux opérateurs.
- Ajout de la possibilité de capturer le bureau de la victime avec la prise en charge de plusieurs moniteurs.
Cependant, outre les ajouts de fonctionnalités, il y a également eu des suppressions notables, comme les vérifications anti-VM et le téléchargement/exécution de DLL.
Ceux – ci pourraient indiquer un effort pour rendre le malware plus léger, mais ils peuvent également être des dommages collatéraux d’une refonte majeure du code et pourraient être réintroduits sous une meilleure forme dans les versions futures.
Dans les attaques les plus récentes vues par Zscaler, Steals a été déployé par Amadey, un chargeur de logiciels malveillants distinct, bien que différents opérateurs puissent différencier les méthodes de livraison ou les chaînes d’attaque.
Pour protéger vos données contre les logiciels malveillants voleurs d’informations, évitez de stocker des informations sensibles sur votre navigateur pour plus de commodité, utilisez l’authentification multifacteur pour protéger vos comptes et ne téléchargez jamais de logiciels piratés ou autres provenant de sources obscures.