Infostealer

L’article publié par The Record met en lumière une campagne de cyberattaque menée par des hackers apparemment vietnamiens. Ces cybercriminels utilisent une combinaison de leurres de phishing, un infostealer déjà connu, et des bots Telegram pour capturer et vendre des données sensibles à travers le monde. Les leurres de phishing servent à tromper les victimes pour qu’elles divulguent des informations personnelles ou professionnelles. Une fois ces informations obtenues, l’infostealer est utilisé pour extraire davantage de données sensibles des systèmes compromis. ...

Cybercrime : Lumma Stealer et Noname057(16) toujours actifs malgré les opérations de police En mai et juillet, Europol et la Bundesanwaltschaft suisse avaient annoncé deux succès majeurs contre des cybercrime-bandes internationales : le démantèlement de l’infrastructure de la malware Lumma Stealer et un coup porté au groupe DDoS prorusse Noname057(16). Mais selon plusieurs experts en cybersécurité, ces victoires se révèlent moins efficaces qu’espéré. Le cheval de Troie voleur de données Lumma Stealer a rapidement refait surface sous des versions améliorées. Cette nouvelle variante cible toujours les identifiants de comptes en ligne, données de navigateurs et portefeuilles crypto, mais se dissimule désormais via des composants logiciels légitimes et des domaines apparemment fiables, rendant sa détection plus complexe. Les chercheurs de Trend Micro notent que la bande utilise aussi Cloudflare pour masquer ses serveurs de commande et contrôle. ...

L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays. Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...

L’article de next.ink rapporte un incident de cybersécurité survenu chez France Travail, anciennement Pôle Emploi, impliquant une fuite de données personnelles. L’incident a été découvert le 12 juillet par le CERT-FR de l’ANSSI et a été officiellement signalé à la CNIL le 13 juillet. Les données compromises incluent les noms, prénoms, adresses postale et électronique, numéros de téléphone, identifiants France Travail et statuts des usagers. Heureusement, les données bancaires et les mots de passe ne sont pas affectés. ...

L’article de bleepingcomputer.com rapporte que l’opération de malware Lumma infostealer reprend progressivement ses activités après une importante opération de police en mai, qui a conduit à la saisie de 2 300 domaines et de parties de son infrastructure. Malgré une perturbation significative de la plateforme malware-as-a-service (MaaS) Lumma, les opérateurs ont rapidement reconnu la situation sur les forums XSS, affirmant que leur serveur central n’avait pas été saisi, bien qu’il ait été effacé à distance. ...

L’article de 404media.co met en lumière une pratique controversée où Farnsworth Intelligence, une entreprise privée, vend des données volées par des malwares infostealers. Ces données incluent des mots de passe, des adresses email et de facturation, ainsi que des historiques de navigation potentiellement embarrassants. Farnsworth Intelligence prétend légitimer la vente de ces informations, autrefois réservées aux forums criminels anonymes, en les proposant à des industries variées telles que les avocats spécialisés en divorce, les sociétés de recouvrement de dettes, et des entreprises cherchant à conquérir des clients de leurs concurrents. ...

L’article publié par Intel 471 fournit une analyse complète de la famille de malwares Lumma infostealer, mettant en lumière ses méthodes de distribution via des campagnes de logiciels piratés et les efforts récents de perturbation par les forces de l’ordre. L’analyse technique décrit l’implémentation de Lumma utilisant le crypteur CypherIT pour l’évasion, la méthodologie de déploiement du programme d’installation NSIS, et l’infrastructure de commande et contrôle. Les techniques de chasse aux menaces se concentrent sur la détection de modèles comportementaux où les attaquants utilisent Tasklist.exe avec Findstr pour énumérer les processus de sécurité en cours d’exécution. ...

L’article publié par The Record rapporte une fuite de données massive concernant la population du Paraguay, qui a été découverte sur le dark web. Les chercheurs ont indiqué que ces données incluent des informations sur l’ensemble de la population paraguayenne, ce qui souligne l’ampleur de l’incident. Il est probable que cette fuite ait pour origine un malware (infostealer) ayant infecté un appareil appartenant à un employé du gouvernement. Ce type d’attaque met en lumière les vulnérabilités potentielles dans les systèmes de sécurité des infrastructures gouvernementales, qui peuvent être exploitées par des logiciels malveillants. ...

L’article de Bleeping Computer met en lumière une situation où une prétendue “énorme fuite de données” s’est avérée être une compilation de données volées déjà existantes. Bien que cette annonce ait suscité une couverture médiatique alarmiste, il ne s’agit pas d’une nouvelle fuite de données. Les identifiants compromis étaient déjà en circulation depuis un certain temps, ayant été volés par des infostealers, exposés lors de précédentes fuites de données, ou obtenus via des attaques de credential stuffing. Ces informations ont ensuite été regroupées et exposées par des chercheurs ou des acteurs malveillants. ...