Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montée des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adopté par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisé l’émergence de variantes, dont Phantom Stealer, présentant un chevauchement de code important qui complique la détection.

Côté capacités, Stealerium opère un vol de données étendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une détection de contenus pour adultes pouvant servir à la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption.

L’outil prend en charge de multiples méthodes d’exfiltration: Discord webhooks, API Telegram, SMTP, ainsi que des services cloud comme GoFile et Zulip. Sa configuration est protégée par chiffrement AES, et il implémente des anti‑analyses telles que le téléchargement dynamique de listes de blocage depuis des dépôts GitHub.

Pour la persistance, Stealerium crée des tâches planifiées et ajoute des exclusions à Windows Defender via PowerShell. Les variantes, notamment Phantom Stealer, partagent des pans de code significatifs, rendant les signatures de détection moins fiables et l’attribution plus complexe.

• TTPs clés: exfiltration via Discord/Telegram/SMTP/GoFile/Zulip; keylogging; extraction de données des navigateurs; vol de wallets crypto; reconnaissance Wi‑Fi (netsh wlan); chiffrement AES de la config; anti‑analyse avec blocklists dynamiques GitHub; exploitation du remote debugging pour contourner Chrome ABE; persistance par tâches planifiées et exclusions Defender; leurres thématiques (voyage/paiement/juridique).
• IOCs: non fournis dans cet extrait.

Type d’article: analyse de menace visant à documenter les capacités, l’adoption par des acteurs et les techniques d’exfiltration et de persistance de Stealerium et de ses variantes.

🧠 TTPs et IOCs détectés

TTPs

exfiltration via Discord/Telegram/SMTP/GoFile/Zulip; keylogging; extraction de données des navigateurs; vol de wallets crypto; reconnaissance Wi-Fi (netsh wlan); chiffrement AES de la config; anti-analyse avec blocklists dynamiques GitHub; exploitation du remote debugging pour contourner Chrome ABE; persistance par tâches planifiées et exclusions Defender; leurres thématiques (voyage/paiement/juridique)

IOCs

non fournis dans cet extrait

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/not-safe-work-tracking-and-investigating-stealerium-and-phantom-infostealers