{"id":1112694,"date":"2024-01-22T10:58:40","date_gmt":"2024-01-22T12:58:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ns-stealer-utilise-des-robots-discord-pour-exfiltrer-vos-secrets-des-navigateurs-populaires\/"},"modified":"2024-01-22T10:58:44","modified_gmt":"2024-01-22T12:58:44","slug":"ns-stealer-utilise-des-robots-discord-pour-exfiltrer-vos-secrets-des-navigateurs-populaires","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ns-stealer-utilise-des-robots-discord-pour-exfiltrer-vos-secrets-des-navigateurs-populaires\/","title":{"rendered":"NS-STEALER utilise des robots Discord pour exfiltrer vos secrets des navigateurs populaires"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>S\u00e9curit\u00e9 du navigateur \/ Cybermenace<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau voleur d’informations \u00ab sophistiqu\u00e9 \u00bb bas\u00e9 sur Java qui utilise un robot Discord pour exfiltrer les donn\u00e9es sensibles des h\u00f4tes compromis.<\/p>\n

Le malware, nomm\u00e9 NS-STEALER<\/strong>se propage via des archives ZIP se faisant passer pour un logiciel pirat\u00e9, Gurumoorthi Ramanathan, chercheur en s\u00e9curit\u00e9 chez Trellix dit<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n

Le fichier ZIP contient un fichier de raccourci Windows malveillant (\u00ab Loader GAYve \u00bb), qui agit comme un conduit pour d\u00e9ployer un fichier JAR malveillant qui cr\u00e9e d’abord un dossier appel\u00e9 \u00ab NS-<11-digit_random_number> \u00bb pour stocker les donn\u00e9es r\u00e9colt\u00e9es.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dans ce dossier, le malware enregistre ensuite les captures d’\u00e9cran, les cookies, les informations d’identification et les donn\u00e9es de saisie automatique vol\u00e9es dans plus de deux douzaines de navigateurs Web, les informations syst\u00e8me, une liste des programmes install\u00e9s, les jetons Discord, les donn\u00e9es de session Steam et Telegram. Les informations captur\u00e9es sont ensuite exfiltr\u00e9es vers un canal Discord Bot.<\/p>\n

“Compte tenu de la fonction hautement sophistiqu\u00e9e de collecte d’informations sensibles et de l’utilisation du X509Certificate pour prendre en charge l’authentification, ce malware peut rapidement voler des informations sur les syst\u00e8mes victimes avec [Java Runtime Environment]”, a d\u00e9clar\u00e9 Ramanathan.<\/p>\n

“Le canal du robot Discord en tant qu’EventListener pour recevoir des donn\u00e9es exfiltr\u00e9es est \u00e9galement rentable.”<\/p>\n

Ce d\u00e9veloppement intervient alors que les acteurs de la menace derri\u00e8re le malware Chaes (alias Chae$) ont publi\u00e9 une mise \u00e0 jour (version 4.1) du voleur d’informations avec des am\u00e9liorations de son module Chronod, qui est responsable du vol des informations de connexion saisies dans les navigateurs Web et de l’interception des transactions cryptographiques. .<\/p>\n

\"La<\/a><\/center><\/div>\n

Cha\u00eenes d’infection distribuant le malware, par Morphisec<\/a>exploitez des leurres de courrier \u00e9lectronique \u00e0 caract\u00e8re juridique \u00e9crits en portugais pour inciter les destinataires \u00e0 cliquer sur de faux liens afin de d\u00e9ployer un programme d’installation malveillant pour activer Chae$ 4.1.<\/p>\n

Mais dans une tournure int\u00e9ressante, les d\u00e9veloppeurs ont \u00e9galement laiss\u00e9 des messages au chercheur en s\u00e9curit\u00e9 Arnold Osipov \u2013 qui a analys\u00e9 de mani\u00e8re approfondie Chaes dans le pass\u00e9 \u2013 exprimant leur gratitude pour les avoir aid\u00e9s \u00e0 am\u00e9liorer leur \u00ab logiciel \u00bb directement dans le code source.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n