Les chercheurs en cybersécurité mettent en garde contre une nouvelle campagne qui exploite les versions craquées des logiciels comme un leurre pour distribuer des voleurs d’informations comme Lumma et ACR Stealer.
L’AHNLAB Security Intelligence Center (ASEC) a déclaré avoir observé un pic dans le volume de distribution d’ACR Stealer depuis janvier 2025.
Un aspect notable du malware du voleur est l’utilisation d’une technique appelée Resolver de chute morte Pour extraire le serveur de commande et de contrôle (C2) réel. Cela comprend le fait de s’appuyer sur des services légitimes comme Steam, Telegram’s Telegraph, Google Forms et Google Diapositives.
“Les acteurs de la menace entrent dans le domaine C2 réel dans le codage de la base64 sur une page spécifique”, ASEC dit. “Le malware accède à cette page, analyse la chaîne et obtient l’adresse de domaine C2 réelle pour effectuer des comportements malveillants.”
ACR Stealer, précédemment distribué via un logiciel malveillant de chargeur de hiérarchie, est capable de récolter un large éventail d’informations à partir de systèmes compromis, y compris des fichiers, des données du navigateur Web et des extensions de portefeuille de crypto-monnaie.
Le développement intervient alors que l’ASEC a révélé une autre campagne qui utilise des fichiers avec l’extension “MSC”, qui peut être exécuté par la console de gestion Microsoft (MMC), pour livrer le malware du voleur de Rhadamanthys.
“Il existe deux types de logiciels malveillants MSC: on exploite la vulnérabilité d’APDS.dll (CVE-2024-43572), et l’autre exécute la commande ‘Command’ à l’aide du pavé de console”, la société sud-coréenne dit.
“Le fichier MSC est déguisé en document MS Word.” Lorsque le bouton “Ouvrir” est cliqué, il télécharge et exécute un script PowerShell à partir d’une source externe. Le script PowerShell téléchargé contient un fichier EXE (Rhadamanthys). “
Le CVE-2024-43572, également appelé Grimresource, a été documenté pour la première fois par les laboratoires de sécurité élastiques en juin 2024 comme ayant été exploité par des acteurs malveillants comme un jour zéro. Il a été corrigé par Microsoft en octobre 2024.
Les campagnes de logiciels malveillants ont également été observé Exploitation des plateformes de support de chat comme Zendesk, se faisant passer pour les clients pour tromper les agents de support sans méfiance dans le téléchargement d’un voleur appelé Zhong Stealer.
Selon un récent rapport publié par Hudson Rock, plus de 30 000 000 d’ordinateurs ont été infectés par des voleurs d’informations au cours des “dernières années”, conduisant au vol de références d’entreprise et de cookies de session qui pourraient ensuite être vendus par des cybercriminels sur des forums souterrains à d’autres acteurs à but lucratif.
Les acheteurs pourraient armer l’accès accordé par ces titres de compétences pour organiser leurs propres actions après l’exploitation, conduisant à de graves risques. Ces développements servent à mettre en évidence le rôle joué par les logiciels malveillants du voleur en tant que vecteur d’accès initial qui fournit un pied dans les environnements d’entreprise sensibles.
“Pour aussi peu que 10 $ par journal (ordinateur), les cybercriminels peuvent acheter des données volées à des employés travaillant dans des secteurs de défense et militaire classifiés”, Hudson Rock dit. “L’intelligence infoséléraire ne se demande pas seulement à qui est infecté – il s’agit de comprendre le réseau complet de références compromises et de risques tiers.”
Au cours de la dernière année, les acteurs de la menace ont également augmenté les efforts pour répandre une variété de familles de logiciels malveillants, y compris les voleurs et les chevaux de Troie (rats) d’accès à distance, via une technique appelée Clickfix qui implique souvent de rediriger les utilisateurs vers les fausses pages de vérification CAPTCHA qui leur apprennent à copier et exécuter des commandes Néfaries PowerShell.
Une telle charge utile abandonnée est I2Prat, qui utilise le réseau d’anonymisation I2P pour anonymiser son serveur C2 final.
“Le malware est une menace avancée composée de plusieurs couches, chacune incorporant des mécanismes sophistiqués”, Sekoia dit. “L’utilisation d’un réseau d’anonymisation complique le suivi et entrave l’identification de l’ampleur et de la propagation de la menace dans la nature.”



