ink drop - stock.adobe.com
Infostealers : comme un semblant d’accalmie
Les récentes opérations judiciaires contre cette menace semblent porter leurs fruits. Globalement, l’année qui s’achève apparaît moins intense que la précédente. Mais le stock d’identifiants compromis reste conséquent.
Fin octobre, les infrastructures des infostealers Redline et Meta étaient saisies dans le cadre de l’opération internationale Magnus.
Les infostealers constituent une importante menace : les identifiants ainsi obtenus sont fréquemment exploités pour conduire des cyberattaques. Ce point de départ avait ainsi été identifié pour les brèches survenues chez Ticketmaster et Santander, plus tôt cette année ; les identifiants associés à un compte Showflake avaient été compromis.
À cela s’est ajoutée l’opération Synergia II, visant les infrastructures utilisées par les cybercriminels, du phishing au ransomware en passant par les infostealers, pour leur distribution.
L’impact de ces actions judiciaires internationales est perceptible. De nombreuses chaînes Telegram utilisées pour diffuser les logs d’infostealers ont disparu ou sont devenues privées. Les données de Recorded Future font d’ailleurs clairement ressortir un recul du nombre d’identifiants compromis par infostealer depuis septembre. Hudson Rock n’a pas été en mesure, pour des raisons techniques passagères, de nous fournir ses chiffres les plus récents. Nous les intégrerons dès qu’ils nous seront fournis.
Le nombre de détections d’infostealers sur les systèmes connectés aux réseaux de Renater a également reculé sur un an à partir de la semaine 36 de l’année. Et cela alors même qu’il était globalement stable d’une année sur l’autre, semaine après semaine, depuis le début 2024. Le recul constaté est même particulièrement spectaculaire pour la semaine 39.
Reste que la menace n’a pas disparu pour autant. D’une part, le marché des infostealers reste actif, leurs développeurs s’adaptant d’ailleurs aux protections mises en place par les éditeurs des navigateurs Web où ils vont piocher les identifiants volés. En outre, le stock existant d’identifiants compromis ne demandant qu’à être exploités par des acteurs malveillants – à l’insu de leurs titulaires légitimes – est suffisamment conséquent pour continuer de constituer une menace significative.
En bref, dans l’actualité des infostealers
- Un groupe de cybercriminels référencé TA547 cible des organisations allemandes via des courriels malveillants imitant la société Metro, contenant le malware Rhadamanthys Stealer. Ces e-mails incluent des fichiers LNK compressés, exécutant des scripts PowerShell soupçonnés d’être générés par des outils d’intelligence artificielle. La campagne marque une évolution technique du groupe, qui exploite des approches automatisées pour déployer des logiciels voleurs de données.
- Une nouvelle vague de cybermenaces est alimentée par des logiciels malveillants voleurs d’informations rendus open source, tels que SapphireStealer et ThunderKitty. En rendant ces outils accessibles gratuitement, les développeurs réduisent la barrière d’entrée pour les cybercriminels amateurs, ce qui augmente les risques d’infections massives et variées. Cette tendance oblige les professionnels de la cybersécurité à s’adapter rapidement face à ces menaces en constante évolution.
- Un logiciel malveillant nommé Poseidon, visant les utilisateurs de Mac, est distribué via des publicités Google falsifiées pour le navigateur Arc. Ce voleur d’informations, basé sur des versions antérieures, cible les fichiers locaux, les portefeuilles cryptographiques et les gestionnaires de mots de passe. La campagne, attribuée à un acteur nommé Rodrigo4, met en évidence l’utilisation croissante de malvertising pour diffuser des logiciels espions sophistiqués.
- Une opération mondiale de logiciels malveillants menée par le groupe « Marko Polo » cible les utilisateurs de cryptomonnaies et les joueurs via des campagnes massives de phishing, malvertising et usurpation de marques. Le groupe diffuse plus de 50 malwares, dont Rhadamanthys et AMOS, affectant Windows et macOS, pour voler des données sensibles et détourner des transactions financières. Cette campagne a compromis des milliers d’appareils, générant des pertes estimées à des millions de dollars.