Stealc, ce nouvel infostealer dont il va falloir se méfier

La famille des infostealers, ces programmes malveillants conçus pour voler des informations sur des appareils infectés, s’agrandit. Le spécialiste français du renseignement sur la cybermenace Sekoia.io vient en effet de signaler la diffusion de Stealc, un logiciel espion vendu à la location sous forme de licence.

? #Stealc: a new #infostealer in town!

In February, https://t.co/6hsla6ZNPi's Threat & Detection Research (#TDR) team discovered a new family of malware that shares some similarities with #Vidar and #Raccoon stealers.

Read our analysis of this new threat in our new blog post! https://t.co/fgzQfXr5yn

— Nicolas Caproni (@ncaproni) February 20, 2023

Proposé à l’achat depuis début janvier

Selon l’équipe de recherche sur les menaces de la société de cybersécurité, Stealc est proposé à l’achat depuis le début du mois de janvier. Sekoia a depuis repéré la diffusion de plusieurs dizaines d’échantillons ainsi qu’une quarantaine de serveurs de commande et de contrôle. Soit le signe que le nouveau logiciel malveillant, qui en est à sa version 1.3, est testé et acheté par des cybercriminels.

De manière classique pour un infostealer, Stealc est programmé pour collecter les données sensibles des navigateurs web les plus utilisés, de Chrome à Firefox, les extensions de navigateur ainsi que des applications locales de portefeuilles de cryptomonnaies, détaille Sekoia.

Le programme malveillant a par exemple déjà infecté des cibles via un service promettant à ses utilisateurs l’accès gratuit à des logiciels piratés. Les cybercriminels qui l’utilisent peuvent filtrer les données avant une exportation, une fonctionnalité utile en cas de revente ultérieure des informations volées.

Similitudes

Le nouvel infostealer n’a pas été développé à partir de zéro. Il présente ainsi de très fortes similitudes avec quatre autres programmes malveillants, Vidar, Raccoon, Mars et Redline. Soit autant de malwares qui préoccupent les spécialistes de la cybersécurité. Raccoon, proposé au prix de 200 dollars par mois, avait ainsi été repéré pour la première fois en 2019.

Et Vidar, apparu en 2018, avait lui été utilisé pour propager le rançongiciel GandCrab. Ce dernier exemple rappelle d’ailleurs que la menace amenée par l’infostealer dépasse sa seule utilisation. Ils peuvent ainsi être à l’origine d’attaques par rançongiciel en fournissant l’accès à distance à un système qui permettra à un tiers de déployer un ransomware.