Ces maliciels voleurs de données – notamment d’authentification – sont distribués par toute une variété de moyens. Mais de plus en plus, des acteurs spécialisés semblent mis à contribution. Ils sont appelés « traffers ».
Les infostealers représentent encore une menace méconnue. Elle joue pourtant un rôle clé dans la chaîne de valeur de cyberattaques et tout particulièrement de celles aboutissant au déclenchement d’un rançongiciel. Dès lors se pose très légitimement la question de la prévention. Et la réponse passe par la compréhension des modes de distribution. Las, ceux-ci s’avèrent suffisamment variés pour rendre la tâche difficile et encourager à la multiplication des efforts de protection – et de sensibilisation des utilisateurs finaux.
La messagerie électronique dans le collimateur
Sans surprise les malspams, ou pourriels, empoisonnés à grand renfort de pièces jointes vérolées, font partie de l’éventail des modes de distribution des infostealers. La méthode est loin d’être nouvelle. En septembre 2019, les équipes de Fortinet se penchaient ainsi sur une campagne de malspam distribuant l’infostealer LokiBot dans une pièce jointe compressée 7zip. Méthode comparable pour Vidar, selon une analyse d’Infoblox faisant ressortir un fichier Word en pièce jointe utilisant VBA. Pour l’infostealer Jester, le CERT Ukrainien alertaitdébut mai 2022 sur une campagne de malspam utilisant des fichiers Excel en pièce jointe. Mi-août, F5 sonnait de son côté le tocsin sur l’infostealer Blackguard, lui aussi distribué par e-mail. Notamment.
Parce que ce n’est pas tout. Le 23 août 2022, Zscaler relevait qu’un nombre croissant d’acteurs distribuant des infostealers s’était mis à parier sur l’appétence des internautes pour les… logiciels pirates. Une belle opportunité pour les cyberdélinquants, analysait l’éditeur : « puisque l’obtention et l’utilisation de logiciels piratés sont interdites par la loi, de nombreuses personnes adoptant ce type de comportement ne font pas attention à la source de leur téléchargement » ; et sont donc promptes à se faire piéger avec un infostealer.
L’attrait du piratage de logiciels
Quelques jours plus tard, Cyware soulignait à son tour le phénomène, faisant état de campagnes d’empoisonnement de SEO et de malvertising – détournement publicitaire malveillant – pour promouvoir de vrais-faux sites distribuant des logiciels piratés, des cracks et autres générateurs de numéros de série, mais aussi et surtout des infostealers. Le tout en misant sur des archives compressées suffisamment volumineuses et protégées par mot de passe pour échapper à l’analyse par les outils de protection des postes de travail.
« Le principal défi auquel sont confrontés les traffers est donc de générer un trafic de qualité sans bots, non détecté ou analysé par les fournisseurs de sécurité […]. »
Analystes de Sekoia.io
Plus récemment encore, le 2 octobre, BlackBerry se penchait sur l’infostealer CryptBot… maquillé en logiciel piraté : « CryptBot a récemment été hébergé et distribué via des pages Web compromises qui semblent proposer des versions piratées de jeux vidéo et autres logiciels populaires ». Et de rappeler que les cyberdélinquants « regroupent généralement leurs exécutables trojanisés [vérolés pour faire simple, N.D.L.R.] de cette manière, afin d’inciter leurs victimes à télécharger et à exécuter un code malveillant à leur insu ».
Des spécialistes à la manœuvre
En fait, ces observations semblent cacher une tendance de fond dont les premiers signaux faibles remontent au moins au premier semestre. Les analystes de Sekoia.io se sont penchés dessus. Selon eux, il faut tourner le regard du côté de ce que l’on appelle des traffers : des spécialistes de la génération de trafic, ou plutôt de la redirection d’internautes vers des contenus malveillants.
Plus précisément, ces traffers « monétisent le trafic vers ces opérateurs de botnets qui ont l’intention de compromettre les utilisateurs soit à grande échelle, soit de manière spécifique à une région ou à un système d’exploitation. Le principal défi auquel sont confrontés les traffers est donc de générer un trafic de qualité sans bots, non détecté ou analysé par les fournisseurs de sécurité, et éventuellement filtré par type de trafic. En d’autres termes, l’activité des trafiquants est une forme de génération de prospects ».
Et justement, un nombre croissant de traffers « rejoint des équipes pour distribuer des maliciels de vol d’information », des infostealers. Autrement dit : ils se mettent indirectement au service de l’alimentation du marché des courtiers en accès initiaux. De quoi, ensuite, alimenter l’économie des ransomwares. Et cela avec une barrière à l’entrée particulièrement peu élevée.
