Un nouveau voleur d’informations appelé Voler qui fait l’objet d’une publicité sur le dark web pourrait devenir un concurrent digne d’autres logiciels malveillants du même acabit.
« L’acteur de la menace présente Stealc comme un voleur complet et prêt à l’emploi, dont le développement s’est appuyé sur les voleurs Vidar, Raccoon, Mars et RedLine », SEKOIA a dit dans un rapport du lundi.
La société française de cybersécurité l’a dit découvert plus que 40 échantillons Stealc distribués dans la nature et 35 serveurs de commande et de contrôle (C2) actifs, ce qui suggère que le logiciel malveillant gagne déjà du terrain parmi les groupes criminels.
Stealc, commercialisé pour la première fois par un acteur nommé Plymouth sur les forums clandestins russophones XSS et BHF le 9 janvier 2023, est écrit en C et est doté de capacités pour voler des données à partir de navigateurs Web, de portefeuilles cryptographiques, de clients de messagerie et d’applications de messagerie.
Le malware-as-a-service (MaaS) se vante également d’un récupérateur de fichiers « personnalisable » qui permet à ses acheteurs d’adapter le module pour siphonner les fichiers qui les intéressent. Il implémente en outre des capacités de chargeur pour déployer des charges utiles supplémentaires.
SEKOIA a évalué avec « une grande confiance que son développeur présumé s’est rapidement imposé comme un acteur de menace fiable, et que son logiciel malveillant a gagné la confiance des cybercriminels traitant avec des voleurs d’informations ».
Parmi les vecteurs de distribution utilisés pour fournir Stealc figurent des vidéos YouTube publiées à partir de comptes compromis qui renvoient à un site Web colportant des logiciels piratés (« rcc-software[.]com »).
Cela indique également que les utilisateurs recherchant des moyens d’installer des logiciels piratés sur YouTube sont une cible, reflétant la même tactique adoptée par un autre voleur d’informations surnommé Aurora.
« Étant donné que les clients de Stealc MaaS possèdent une version de son panneau d’administration pour héberger le serveur de voleur C2 et générer eux-mêmes des échantillons de voleur, il est probable que la version fuira dans les communautés souterraines à moyen terme », a ajouté la société.
Selon le fournisseur d’antivirus Avast, FormBook, Agent Tesla, RedLine, LokiBotRaccoon, Snake Keylogger et Arkei (avec son fork Vidar) ont représenté le les souches de logiciels malveillants voleurs les plus répandues au cours du quatrième trimestre 2022.
