La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon.

Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord.

Une fois installés, ces malwares sont capables de collecter des données sensibles telles que les données de navigation, les informations d’identification et les jetons Discord. L’impact pour les victimes peut être sévère, allant de l’usurpation d’identité à l’extorsion financière.

Un examen technique détaillé du RMC Stealer a révélé que l’attaquant avait laissé le code source original non obfusqué, facilitant ainsi l’analyse. Les malwares sont construits sur le framework Electron, ce qui les rend difficiles à détecter en raison de leur taille et de l’obfuscation JavaScript.

Les indicateurs de compromission (IoC) incluent des fichiers exécutables déguisés en installateurs de jeux et des liens de téléchargement malveillants. Cet article est une analyse technique visant à sensibiliser aux méthodes employées par les cybercriminels pour tromper les utilisateurs.

🧠 TTPs et IOCs détectés

TTP

T1566.002 (Spearphishing Link), T1204.002 (User Execution: Malicious File), T1071.001 (Application Layer Protocol: Web Protocols), T1056.004 (Credential API Hooking), T1555 (Credentials from Password Stores), T1027 (Obfuscated Files or Information), T1566 (Phishing), T1589.001 (Gather Victim Identity Information: Credentials), T1608.005 (Stage Capabilities: Implantation of Compromised Software)

IOC

Fichiers exécutables déguisés en installateurs de jeux, Liens de téléchargement malveillants

🔗 Source originale : https://www.acronis.com/en-us/tru/posts/threat-actors-go-gaming-electron-based-stealers-in-disguise/