La montée des infostealers open source menace de déclencher une nouvelle vague d'infections

📰 Source : infostealers.com (Hudson Rock) — Date : 1er juillet 2024

L’article analyse une évolution structurelle dans l’écosystème des infostealers : le passage du modèle traditionnel de location (Malware-as-a-Service) vers des variantes open source librement accessibles.

🔄 Modèle traditionnel vs open source

Historiquement, les infostealers comme Redline, Lumma, Raccoon ou Poseidon (macOS) sont développés par des équipes criminelles organisées et loués à d’autres acteurs malveillants pour plusieurs centaines à plusieurs milliers de dollars par mois (ex : Poseidon à 3 000 $/mois). Ce modèle maintient une barrière financière limitant l’accès.

Avec l’apparition de familles open source telles que SapphireStealer et ThunderKitty, ce verrou financier disparaît.

⚠️ Implications identifiées

• Abaissement de la barrière d’entrée : des hackers amateurs sans ressources financières peuvent désormais accéder à des outils sophistiqués gratuitement
• Innovation accélérée : la contribution communautaire peut faire évoluer ces outils plus rapidement que les variantes commerciales
• Prolifération des infections : davantage d’acteurs = davantage d’attaques potentielles

🐱 Cas ThunderKitty

Le développeur de ThunderKitty a publié son infostealer sous couvert d’usage « éducatif uniquement », tout en se plaignant publiquement sur Telegram que son outil était déjà utilisé pour infecter des victimes réelles. Des infections in the wild ont déjà été observées.

📌 Type d’article

Article d’analyse de tendance publié par Hudson Rock, visant à alerter sur une évolution du paysage des menaces liées aux infostealers open source.

🧠 TTPs et IOCs détectés

TTP

• T1555 — Credentials from Password Stores (Credential Access)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)

Malware / Outils

• ThunderKitty (stealer)
• SapphireStealer (stealer)
• Redline (stealer)
• Lumma (stealer)
• Raccoon (stealer)
• Poseidon (stealer)

🔴 Indice de vérification factuelle : 33/100 (basse)

• ⬜ infostealers.com — source non référencée (0pts)
• ✅ 8318 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.infostealers.com/article/open-sourced-infostealers-about-to-fuel-new-wave-of-computer-infections/