{"id":791208,"date":"2023-06-19T14:15:11","date_gmt":"2023-06-19T16:15:11","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-malware-mystic-stealer-cible-40-navigateurs-web-et-70-extensions-de-navigateur\/"},"modified":"2023-06-19T14:15:14","modified_gmt":"2023-06-19T16:15:14","slug":"le-nouveau-malware-mystic-stealer-cible-40-navigateurs-web-et-70-extensions-de-navigateur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-malware-mystic-stealer-cible-40-navigateurs-web-et-70-extensions-de-navigateur\/","title":{"rendered":"Le nouveau malware Mystic Stealer cible 40 navigateurs Web et 70 extensions de navigateur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un nouveau logiciel malveillant voleur d&#8217;informations appel\u00e9 <strong>Voleur mystique<\/strong> a \u00e9t\u00e9 trouv\u00e9 pour voler des donn\u00e9es d&#8217;environ 40 navigateurs Web diff\u00e9rents et plus de 70 extensions de navigateur Web.<\/p>\n<p>Annonc\u00e9 pour la premi\u00e8re fois le 25 avril 2023, pour 150 $ par mois, le logiciel malveillant cible \u00e9galement les portefeuilles de crypto-monnaie, Steam et Telegram, et utilise des m\u00e9canismes \u00e9tendus pour r\u00e9sister \u00e0 l&#8217;analyse.<\/p>\n<p>&#8220;Le code est fortement obscurci en utilisant l&#8217;obscurcissement des cha\u00eenes polymorphes, la r\u00e9solution d&#8217;importation bas\u00e9e sur le hachage et le calcul d&#8217;ex\u00e9cution des constantes&#8221;, <a rel=\"nofollow noopener\" href=\"https:\/\/inquest.net\/blog\/2023\/06\/15\/mystic-stealer-new-kid-block\" target=\"_blank\">Enqu\u00eate<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/mystic-stealer\" target=\"_blank\">\u00c9chelle Z<\/a> ont d\u00e9clar\u00e9 les chercheurs dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>Mystic Stealer, comme de nombreuses autres solutions de logiciels criminels propos\u00e9es \u00e0 la vente, se concentre sur le vol de donn\u00e9es et est impl\u00e9ment\u00e9 dans le langage de programmation C.  Le panneau de contr\u00f4le a \u00e9t\u00e9 d\u00e9velopp\u00e9 en Python.<\/p>\n<p>Les mises \u00e0 jour du logiciel malveillant en mai 2023 int\u00e8grent un composant de chargeur qui lui permet de r\u00e9cup\u00e9rer et d&#8217;ex\u00e9cuter les charges utiles de la prochaine \u00e9tape extraites d&#8217;un serveur de commande et de contr\u00f4le (C2), ce qui en fait une menace plus redoutable.<\/p>\n<p>Les communications C2 sont r\u00e9alis\u00e9es \u00e0 l&#8217;aide d&#8217;un protocole binaire personnalis\u00e9 sur TCP.  Pas moins de 50 serveurs C2 op\u00e9rationnels ont \u00e9t\u00e9 identifi\u00e9s \u00e0 ce jour.  Le panneau de contr\u00f4le, pour sa part, sert d&#8217;interface aux acheteurs du voleur pour acc\u00e9der aux journaux de donn\u00e9es et \u00e0 d&#8217;autres configurations.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cyfirma, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/mystic-stealer-evolving-stealth-malware\/\" target=\"_blank\">publi\u00e9<\/a> une analyse simultan\u00e9e de Mystic, a d\u00e9clar\u00e9 que &#8220;l&#8217;auteur du produit invite ouvertement des suggestions d&#8217;am\u00e9liorations suppl\u00e9mentaires du voleur&#8221; via un canal Telegram d\u00e9di\u00e9, indiquant des efforts actifs pour courtiser la communaut\u00e9 cybercriminelle.<\/p>\n<p>&#8220;Il semble clair que le d\u00e9veloppeur de Mystic Stealer cherche \u00e0 produire un voleur \u00e0 la hauteur des tendances actuelles de l&#8217;espace des logiciels malveillants tout en essayant de se concentrer sur l&#8217;anti-analyse et l&#8217;\u00e9vasion de la d\u00e9fense&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les d\u00e9couvertes arrivent comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.accenture.com\/us-en\/blogs\/security\/information-stealer-malware-on-dark-web\" target=\"_blank\">voleurs d&#8217;infos<\/a> sont devenus une denr\u00e9e rare dans l&#8217;\u00e9conomie souterraine, servant souvent de pr\u00e9curseur en facilitant la collecte d&#8217;informations d&#8217;identification pour permettre un acc\u00e8s initial aux environnements cibles.<\/p>\n<p>En d&#8217;autres termes, les voleurs sont utilis\u00e9s comme base par d&#8217;autres cybercriminels pour lancer des campagnes \u00e0 motivation financi\u00e8re qui utilisent des ran\u00e7ongiciels et des \u00e9l\u00e9ments d&#8217;extorsion de donn\u00e9es.<\/p>\n<p>Nonobstant le pic de popularit\u00e9, les logiciels malveillants voleurs pr\u00eats \u00e0 l&#8217;emploi ne sont pas commercialis\u00e9s \u00e0 des prix abordables pour attirer un public plus large, ils \u00e9voluent \u00e9galement pour devenir plus meurtriers, int\u00e9grant des techniques avanc\u00e9es pour voler sous le radar.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687191311_751_Le-nouveau-malware-Mystic-Stealer-cible-40-navigateurs-Web-et.jpg\" alt=\"Voleur mystique\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Voleur mystique\"\/><\/div>\n<p>La nature en constante \u00e9volution et volatile de l&#8217;univers des voleurs est mieux illustr\u00e9e par l&#8217;introduction r\u00e9guli\u00e8re de nouvelles souches telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/album-stealer-targets-facebook-adult-only-content-seekers\" target=\"_blank\">Voleur d&#8217;albums<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-bandit-stealer\" target=\"_blank\">Voleur de bandits<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/introducing-devopt-multifunctional-backdoor-arsenal\" target=\"_blank\">Devopt<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/infected-minecraft-mods-lead-to-multi-stage-multi-platform-infostealer-malware\/\" target=\"_blank\">Fractureur<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-rhadamanthys-obfuscation-techniques\" target=\"_blank\">Rhadamanthys<\/a> Ces derniers mois.<\/p>\n<p>Dans un autre signe des tentatives des acteurs de la menace pour \u00e9chapper \u00e0 la d\u00e9tection, des voleurs d&#8217;informations et des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance ont \u00e9t\u00e9 observ\u00e9s int\u00e9gr\u00e9s dans des crypteurs comme AceCryptor, ScrubCrypt (alias BatCloak) et <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/snip3-crypter-reveals-new-ttps-over-time\" target=\"_blank\">Snip3<\/a>.<\/p>\n<p>Le d\u00e9veloppement vient \u00e9galement en tant que HP Wolf Security <a rel=\"nofollow noopener\" href=\"https:\/\/press.hp.com\/us\/en\/press-releases\/2023\/hp-wolf-security-q1-2023-threat-insights-report.html\" target=\"_blank\">d\u00e9taill\u00e9<\/a> une campagne ChromeLoader de mars 2023 nomm\u00e9e Shampoo qui est con\u00e7ue pour installer une extension malveillante dans Google Chrome et voler des donn\u00e9es sensibles, rediriger les recherches et injecter des publicit\u00e9s dans la session de navigateur d&#8217;une victime.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>&#8220;Les utilisateurs ont rencontr\u00e9 le logiciel malveillant principalement en t\u00e9l\u00e9chargeant du contenu ill\u00e9gal, tel que des films (Cocaine Bear.vbs), des jeux vid\u00e9o ou autres&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Jack Royer. <a rel=\"nofollow noopener\" href=\"https:\/\/threatresearch.ext.hp.com\/shampoo-a-new-chromeloader-campaign\/\" target=\"_blank\">a dit<\/a>.  &#8220;Ces sites Web incitent les victimes \u00e0 ex\u00e9cuter un VBScript malveillant sur leur PC qui d\u00e9clenche la cha\u00eene d&#8217;infection.&#8221;<\/p>\n<p>Le VBScript proc\u00e8de ensuite au lancement du code PowerShell capable de terminer toutes les fen\u00eatres Chrome existantes et d&#8217;ouvrir une nouvelle session avec l&#8217;extension malveillante d\u00e9compress\u00e9e \u00e0 l&#8217;aide de l&#8217;argument de ligne de commande &#8220;&#8211;load-extension&#8221;.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;un nouveau cheval de Troie malveillant modulaire baptis\u00e9 Pikabot, capable d&#8217;ex\u00e9cuter des commandes arbitraires et d&#8217;injecter des charges utiles fournies par un serveur C2, tel que Cobalt Strike.<\/p>\n<p>L&#8217;implant, actif depuis le d\u00e9but de 2023, s&#8217;est av\u00e9r\u00e9 partager des ressemblances avec QBot en ce qui concerne les m\u00e9thodes de distribution, les campagnes et les comportements des logiciels malveillants, bien qu&#8217;il n&#8217;y ait aucune preuve concluante reliant les deux familles.<\/p>\n<p>&#8220;Pikabot est une nouvelle famille de logiciels malveillants qui impl\u00e9mente un ensemble complet de techniques anti-analyse et offre des capacit\u00e9s de porte d\u00e9rob\u00e9e communes pour charger du shellcode et ex\u00e9cuter des binaires arbitraires de deuxi\u00e8me \u00e9tape&#8221;, Zscaler <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-pikabot\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-mystic-stealer-malware-targets-40.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nouveau logiciel malveillant voleur d&#8217;informations appel\u00e9 Voleur mystique a \u00e9t\u00e9 trouv\u00e9 pour voler des donn\u00e9es d&#8217;environ 40 navigateurs Web diff\u00e9rents et plus de 70 extensions de navigateur Web. Annonc\u00e9 pour la premi\u00e8re fois le 25 avril 2023, pour 150 $ par mois, le logiciel malveillant cible \u00e9galement les portefeuilles de crypto-monnaie, Steam et Telegram, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":791209,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7087,4168,4158,4165,4161,3107,4157,4159,4171,4170,4167,4174,4160,115140,1281,38974,680,4163,4162,4172,4169,39577,4166,4164,2784],"class_list":["post-791208","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-extensions","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-mystic","tag-navigateur","tag-navigateurs","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-stealer","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/791208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=791208"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/791208\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/791209"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=791208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=791208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=791208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}