Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les chercheurs de Kaspersky découvrent trois nouveaux stealers : Acrid, ScarletStealer et la dernière évolution de Sys01

mai 2024 par Kaspersky

L’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a mis au jour trois nouveaux stealers : Acrid, ScarletStealer et une forme évoluée de Sys01. Ces découvertes sont détaillées dans leur dernier rapport, et mettent en lumière l’évolution des tactiques des cybercriminels.

Découvert en décembre dernier, Acrid est un nouveau venu dans le paysage des stealers. Malgré son architecture 32 bits, une rareté dans l’environnement 64 bits actuel, Acrid exploite la technique du « Heaven’s Gate », qui permet d’accéder à l’espace 64 bits et de contourner les mesures de sécurité. Il présente des fonctionnalités typiques des stealers, comme le vol de données de navigateur et de portefeuilles de crypto-monnaies, et l’exfiltration de fichiers. Bien que modérément sophistiqué avec le chiffrement des chaînes qu’il met en œuvre, Acrid ne présente néanmoins pas de fonctionnalités révolutionnaires.
ScarletStealer, identifié parallèlement à l’analyse du loader Penguish, diverge des stealers traditionnels. Au lieu de voler directement des données, il télécharge des fichiers exécutables supplémentaires, ciblant principalement les portefeuilles de crypto-monnaies. Ces fichiers sont signés numériquement, une pratique redondante compte tenu de leurs fonctionnalités limitées et de leurs nombreuses failles. Malgré les défauts de ce stealers, on retrouve des victimes de ScarletStealer dans le monde entier, à plus forte raison au Brésil, en Turquie et aux États-Unis.

Précédemment connu sous le nom d’Album Stealer ou S1deload Stealer, Sys01 a subi une transformation, mélangeant des charges utiles C# et PHP. Son vecteur d’infection reste le même : il attire les utilisateurs avec des archives ZIP malveillantes déguisées en contenu pour adultes. Cette dernière itération, baptisée Newb, présente des fonctionnalités fragmentées, la collecte des données du navigateur étant séparée dans un module distinct appelé imageclass. Les victimes de la campagne d’attaques, largement dispersées avec une concentration plus forte en Algérie, soulignent la portée mondiale de la menace.
« L’émergence de ces nouveaux stealers est un rappel brutal de la demande insatiable des acteurs de la menace pour des outils facilitant le vol de données. Considérant les conséquences désastreuses qui peuvent advenir, allant de pertes financières à l’atteinte de la vie privée, il est impératif que les individus et les organisations restent vigilants et adoptent des mesures de cybersécurité proactives. Kaspersky recommande vivement de maintenir les logiciels à jour, de faire preuve de prudence lors du téléchargement de fichiers et de l’ouverture de pièces jointes, et de recourir à des solutions de sécurité robustes comme SystemWatcher pour renforcer les défenses contre les menaces en constante évolution », a commenté Tatyana Shishkova, chercheur principal en sécurité au GReAT de Kaspersky.


Voir les articles précédents

    

Voir les articles suivants