Infostealers, nouvelle arme massive ?

Contrairement aux attaques par rançongiciels, les stealers ou infostealers (information stealer ou voleur d’informations en français) sont une menace encore méconnue du grand public.

“La prévalence des infostealers continue de croître en 2023 en raison de leur capacité à voler des informations sensibles et de leur relative facilité d’utilisation par les cybercriminels” confirme Livia Tibirna, Sekoia.io.

Une fois installé sur votre appareil, le malware explore et analyse votre stockage à la recherche d’informations : vos mots de passe, votre adresse mail, l’historique de votre navigateur. Les stealers exploitent principalement les failles de sécurité des navigateurs pour collecter un maximum d’informations. Ces dernières sont ensuite soit stockées localement pour être récupérées plus tard, soit envoyées directement sur un serveur distant.

“Les infostealers contrastent avec des formes plus spécifiques de logiciels malveillants tels que les chevaux de Troie bancaires, qui ont tendance à se concentrer non seulement sur un type spécifique de données, mais aussi sur un type de banques, comme par exemple, la liste des cibles de Qbot” explique Matthieu Dierick, F5.

Le vol des données numériques est devenu massif, presque industriel. Les cybercriminels revendent ces données sur des forums clandestins du “darkweb”, comme “Genesis Market”, l’une des plus grandes plateformes de hackers au monde. Ce forum vendait sur le darkweb des identifiants numériques dérobés à plus de deux millions de personnes. Il a été démantelé le mardi 4 avril, avec l’action du FBI et une quinzaine d’autres pays dont la France. 119 personnes ont été arrêtées, dont trois en France. Mais beaucoup d’autres plateformes restent encore actives.

A l’image de la cybercriminalité, l’écosystème des infostealers s’est professionnalisé et structuré ces dernières années “avec la mise en commun de ressources, de connaissances et de places de marché dédiées et relativement accessibles sur le Dark Web”, détaille Livia Tibirna, Sekoia.io.

L’origine de l’engouement récent pour les infostealers s’explique : pour se simplifier la vie face à la quantité de services numériques en ligne exigeant de retenir des couples identifiants/mots de passe, ou de remplir des champs avec les mêmes informations, il est très tentant d’utiliser la fonction “enregistrer ce mot de passe” dans son navigateur. Les criminels l’ont bien compris, d’où le regain d’intérêt observé ces derniers mois pour ces logiciels voleurs d’informations, qui existent pourtant depuis plusieurs années. Une fois que la victime clique malgré elle sur un lien et déclenche le téléchargement du programme, ce dernier n’a plus qu’à jouer son rôle de collecte et d’extraction. Sur le coup, le méfait est indolore et furtif. Ce n’est que plus tard que l’utilisateur constate les dégâts.

“Le déclenchement d’un ransomware n’est que la phase finale d’une cyberattaque. Le vol des accès initiaux constitue l’une des premières étapes des attaques avec ransomware, pour lesquelles sont utilisés des logiciels spécialisés appelés infostealers”, explique Romain Basset, Vade.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.