Un nouveau malware voleur d’informations basé sur Golang, baptisé Titan Stealer, est annoncé par les acteurs de la menace via leur chaîne Telegram.

« Le voleur est capable de voler une variété d’informations sur les machines Windows infectées, y compris les données d’identification des navigateurs et des portefeuilles cryptographiques, les détails du client FTP, les captures d’écran, les informations système et les fichiers saisis », ont déclaré les chercheurs en sécurité d’Uptycs, Karthickkumar Kathiresan et Shilpesh Trivedi. rapport récent.

Les détails du malware ont été documentés pour la première fois par le chercheur en cybersécurité Will Thomas (@BushidoToken) en novembre 2022 en interrogeant le moteur de recherche IoT Shodan.

Titan est proposé en tant que constructeur, permettant aux clients de personnaliser le binaire du malware pour inclure des fonctionnalités spécifiques et le type d’informations à exfiltrer de la machine de la victime.

Le logiciel malveillant, lors de son exécution, utilise une technique connue sous le nom de creusement de processus pour injecter la charge utile malveillante dans la mémoire d’un processus légitime appelé AppLaunch.exe, qui est l’utilitaire de lancement Microsoft .NET ClickOnce.

Certains des principaux navigateurs Web ciblés par Titan Stealer incluent Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera, Brave, Vivaldi, 7 Star Browser, Iridium Browser et autres. Les portefeuilles cryptographiques sélectionnés sont Armory, Armory, Bytecoin, Coinomi, Edge Wallet, Ethereum, Exodus, Guarda, Jaxx Liberty et Zcash.

Il est également capable de rassembler la liste des applications installées sur l’hôte compromis et de capturer les données associées à l’application de bureau Telegram.

Les informations amassées sont ensuite transmises à un serveur distant sous le contrôle de l’attaquant sous la forme d’un fichier d’archive codé en Base64. De plus, le malware est livré avec un panneau Web qui permet aux adversaires d’accéder aux données volées.

Le mode opératoire exact utilisé pour distribuer le logiciel malveillant n’est pas encore clair, mais traditionnellement, les acteurs de la menace ont exploité un certain nombre de méthodes, telles que le phishing, les publicités malveillantes et les logiciels piratés.

« L’une des principales raisons pour lesquelles [les acteurs de la menace] peuvent utiliser Golang pour leurs logiciels malveillants voleurs d’informations est qu’il leur permet de créer facilement des logiciels malveillants multiplateformes pouvant s’exécuter sur plusieurs systèmes d’exploitation, tels que Windows, Linux et macOS », a déclaré Cyble. dit dans sa propre analyse de Titan Stealer.

« De plus, les fichiers binaires compilés par Go sont de petite taille, ce qui les rend plus difficiles à détecter par les logiciels de sécurité. »

Le développement arrive un peu plus de deux mois après que SEKOIA a détaillé un autre malware basé sur Go appelé Aurora Stealer qui est utilisé par plusieurs acteurs criminels dans leurs campagnes.

Le malware se propage généralement via des sites Web similaires de logiciels populaires, avec les mêmes domaines activement mis à jour pour héberger des versions trojanisées de différentes applications.

Il a également été observé qu’il profitait d’une méthode connue sous le nom de rembourrage pour gonfler artificiellement la taille des exécutables jusqu’à 260 Mo en ajoutant des données aléatoires afin d’échapper à la détection par un logiciel antivirus.

Les découvertes font suite à une campagne de logiciels malveillants qui a été observée livrant Raccoon et Vidar en utilisant des centaines de faux sites Web se faisant passer pour des logiciels et des jeux légitimes.

L’équipe Cymru, dans une analyse publiée plus tôt ce mois-ci, a noté que « les opérateurs Vidar ont divisé leur infrastructure en deux parties ; l’une dédiée à leurs clients réguliers et l’autre à l’équipe de direction, ainsi qu’aux utilisateurs potentiellement premium/importants ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *