Selon Cyfirma, Inf0s3c Stealer est un malware de type information stealer écrit en Python qui cible de larges pans des données utilisateur et systèmes, exfiltrées via Discord après empaquetage en archives RAR protégées par mot de passe. L’échantillon montre une obfuscation avancée (UPX + PyInstaller) et des mécanismes de persistance. Le billet recommande une protection proactive des endpoints et une surveillance réseau renforcée.

Sur le plan technique, l’échantillon est un exécutable PE 64-bit (~6,8 Mo, entropie 8.000) packé avec UPX 5.02 et PyInstaller, important des API Windows (opérations fichiers, énumération de processus, manipulation mémoire). 🧪

Au démarrage, le stealer crée des répertoires temporaires, exécute des commandes PowerShell pour la reconnaissance, capture des captures d’écran, énumère les répertoires utilisateur, puis emballe les données récoltées dans des archives RAR protégées par le mot de passe durci « blank123 ». Il cible notamment les tokens Discord, données de navigateurs, identifiants de plateformes de jeu, portefeuilles de cryptomonnaies et informations système. La persistance est maintenue via le dossier Startup de Windows. 🔎

La détection s’appuie sur des règles YARA visant des chaînes et des comportements spécifiques à l’échantillon. Référence: https://www.cyfirma.com/research/unveiling-a-python-stealer-inf0s3c-stealer/

IOCs et TTPs:

  • IOCs / artefacts observables:
    • Mot de passe d’archive RAR: blank123
    • Canal d’exfiltration: Discord
    • Empaquetage/obfuscation: UPX 5.02, PyInstaller
    • Type/taille/entropie: PE 64-bit, ~6,8 Mo, entropie 8.000
  • TTPs (comportements):
    • Collecte de données: navigateurs, tokens Discord, jeux, wallets crypto, infos système
    • Reconnaissance: commandes PowerShell et énumérations systèmes
    • Capture d’écran et parcours des répertoires utilisateur
    • Empaquetage et chiffrement léger: archives RAR protégées
    • Exfiltration via service externe: Discord
    • Persistance: dossier Startup Windows
    • Évasion/défense: UPX/PyInstaller pour l’obfuscation

Type d’article: analyse de menace présentant un aperçu exécutif, un résumé technique et des capacités de détection via YARA.

🔗 Source originale : https://www.cyfirma.com/research/unveiling-a-python-stealer-inf0s3c-stealer/

🖴 Archive : https://web.archive.org/web/20250831180346/https://www.cyfirma.com/research/unveiling-a-python-stealer-inf0s3c-stealer/