Les chercheurs en cybersécurité mettent en garde contre deux différents logiciels malveillants voleurs d’informations, nommés FFDroider et Voleur de foudrecapables de siphonner des données et de lancer de nouvelles attaques.
« Conçu pour envoyer des informations d’identification et des cookies volés à un serveur de commande et de contrôle, FFDroider se déguise sur les machines des victimes pour ressembler à l’application de messagerie instantanée » Telegram « », ont déclaré Avinash Kumar et Niraj Shivtarkar, chercheurs de Zscaler ThreatLabz. mentionné dans un rapport publié la semaine dernière.
Les voleurs d’informations, comme leur nom l’indique, sont équipés pour collecter des informations sensibles à partir de machines compromises, telles que des frappes au clavier, des captures d’écran, des fichiers, des mots de passe enregistrés et des cookies de navigateurs Web, qui sont ensuite transmises à un domaine distant contrôlé par l’attaquant.
FFDroider est distribué via des versions piratées d’installateurs et de logiciels gratuits dans le but principal de voler des cookies et des informations d’identification associés aux plateformes de médias sociaux et de commerce électronique populaires et d’utiliser les données pillées pour se connecter aux comptes et capturer d’autres informations personnelles liées au compte.
Les navigateurs Web ciblés par le malware incluent Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft Edge. Les sites Web ciblés englobent Facebook, Instagram, Twitter, Amazon, eBay et Etsy.
« Le voleur se connecte aux plateformes de médias sociaux des victimes à l’aide de cookies volés et extrait des informations de compte comme Facebook Ads-manager pour diffuser des publicités malveillantes avec des méthodes de paiement stockées et Instagram via API pour voler des informations personnelles », ont déclaré les chercheurs.
FFDroider est également livré avec une fonctionnalité de téléchargement pour se mettre à niveau avec de nouveaux modules à partir d’un serveur de mise à jour qui lui permet d’étendre son ensemble de fonctionnalités au fil du temps, permettant aux acteurs malveillants d’abuser des données volées comme vecteur d’accès initial à une cible.
 |
| Fonction principale de Lightning Stealer |
Le voleur de foudre fonctionne de la même manière en ce sens qu’il peut voler des jetons Discord, des données de portefeuilles de crypto-monnaie et des détails concernant les cookies, les mots de passe, les cartes de crédit et l’historique de recherche de plus de 30 navigateurs basés sur Firefox et Chromium, qui sont tous exfiltrés. à un serveur au format JSON.
« Les voleurs d’informations adoptent de nouvelles techniques pour devenir plus évasifs », les chercheurs de Cyble mentionnéajoutant qu’il « a vu des groupes de rançongiciels tirer parti des voleurs d’informations pour obtenir un accès initial au réseau et, éventuellement, exfiltrer des données sensibles ».
Le développement intervient alors que les logiciels malveillants voleurs deviennent de plus en plus courants dans différentes campagnes d’attaques ces derniers mois, en partie pour combler le vide laissé par La sortie de Raccoon Stealer du marché fin mars en raison de la guerre en cours en Ukraine.
En février 2022, Cyble Research a divulgué les détails d’une menace émergente appelée Voleur de bouffon qui est conçu pour voler et transmettre les identifiants de connexion, les cookies, les informations de carte de crédit ainsi que les données des gestionnaires de mots de passe, des messagers de chat, des clients de messagerie, des portefeuilles cryptographiques et des applications de jeu aux attaquants.
Depuis lors, au moins trois voleurs d’informations différents ont émergé dans la nature, dont BlackGuard, Mars Stealer et METAdont le dernier a été observé via des campagnes de malspam pour collecter des données sensibles.