Infostealer

📰 Source : infostealers.com (Hudson Rock) — Date : 1er juillet 2024 L’article analyse une évolution structurelle dans l’écosystème des infostealers : le passage du modèle traditionnel de location (Malware-as-a-Service) vers des variantes open source librement accessibles. 🔄 Modèle traditionnel vs open source Historiquement, les infostealers comme Redline, Lumma, Raccoon ou Poseidon (macOS) sont développés par des équipes criminelles organisées et loués à d’autres acteurs malveillants pour plusieurs centaines à plusieurs milliers de dollars par mois (ex : Poseidon à 3 000 $/mois). Ce modèle maintient une barrière financière limitant l’accès. ...

🔍 Contexte Publié le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mécanisme de contournement de l’Application-Bound Encryption (ABE) implémenté dans le stealer Vidar, version 2.1. 🧩 Technique de bypass ABE Vidar adopte une approche similaire à Remus/Lumma en extrayant la v20_master_key directement depuis la mémoire du navigateur, mais avec une méthode distincte en deux phases : Phase 1 – Localisation de la clé en mémoire Si le navigateur est déjà en cours d’exécution, Vidar crée un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mémoire statique (copy-on-write, sans threads). Si aucun navigateur n’est actif, Vidar crée un bureau isolé (CreateDesktopA) nommé v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank. Jusqu’à 64 processus navigateur sont énumérés et traités indépendamment. La mémoire est scannée via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les régions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 régions). Le scan parallèle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant à un nœud de Chromium::Encryptor::KeyRing. Un système de vote majoritaire filtre les candidats. Phase 2 – Déchiffrement via injection APC La clé est protégée par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nécessitant une exécution depuis le processus navigateur. Vidar sélectionne l’une de deux méthodes d’injection APC selon la présence d’ESET ou Bitdefender : Méthode « classic » (si ESET/Bitdefender détecté) : création d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread. Méthode « special » (sinon) : énumération des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exécution immédiate, sans état alertable requis). La routine APC injectée est CryptUnprotectMemory appelée avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS. Vidar crée un second fork pour lire la clé déchiffrée et vérifie via déchiffrement AES-256-GCM (BCryptDecrypt). Après lecture, Vidar réinjecte CryptProtectMemory pour restaurer l’état du navigateur. En cas d’échec total, Vidar termine tous les processus navigateur, les redémarre et répète le cycle. 📌 IoC SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a 📄 Nature de l’article Il s’agit d’une publication de recherche technique à visée CTI, documentant précisément les mécanismes internes d’un stealer actif pour permettre la détection et la compréhension de ses techniques d’évasion. ...

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

📅 Article technique publié le 25 mai 2026 par Guillaume Ross sur recyclebin.zip, présentant une solution open-source de détection de secrets en clair sur les postes de travail des développeurs. 🎯 Contexte L’expansion de la surface d’attaque via les gestionnaires de paquets (PyPI, npm, VS Code Extensions, OpenVSX, brew) expose les postes développeurs à des vols de credentials. La prolifération des agents IA qui consomment les mêmes paquets étend ce risque à l’ensemble des postes de travail, y compris non techniques. ...

🗓️ Source : Securelist (Kaspersky) — Publication le 16 juin 2026, auteurs : Maxim Starodubov et Denis Brylev. Contexte Depuis fin 2025 (et confirmé dès août 2025 selon la mise à jour du 17 juin), des acteurs malveillants exploitent Steam Workshop et l’application Wallpaper Engine pour distribuer des malwares à grande échelle. Des dizaines de fonds d’écran malveillants ont été identifiés, chacun ayant été téléchargé des milliers à des dizaines de milliers de fois. ...

🔍 Contexte Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, Amérique du Nord et Océanie Secteurs : technologie, médias, services aux entreprises Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin) ⚙️ Chaîne d’infection (entièrement fileless) Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue : Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build) Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire 🦠 Capacités du payload Stage 2 Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée 💉 Injection de wallets desktop Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

📅 Source : Gen Digital Blog (gendigital.com), publié le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen. Contexte GoFlateLoader est un loader écrit en Go (Golang), suivi activement par Gen Threat Labs depuis début avril 2026. Malgré une conception technique simple, il est largement distribué : plus de 33 000 utilisateurs uniques ont été protégés depuis avril 2026, principalement au Brésil, Inde, Argentine, Mexique, Turquie et Espagne. Mécanisme technique Le loader réalise un chargement manuel de PE en mémoire selon le flux suivant : ...

🔍 Contexte Publié le 8 juin 2026 sur The Raven File, cet article constitue une analyse technique approfondie de Grixba, l’outil de reconnaissance interne développé par le groupe Play Ransomware (actif depuis 2022, 1200+ victimes). L’analyse couvre quatre échantillons compilés entre septembre 2022 et novembre 2024, soit une période de 26 mois. 🎯 Présentation de Grixba Grixba est un infostealer/scanner réseau personnalisé développé en .NET avec Costura pour l’intégration des dépendances. Il est utilisé en phase de pré-chiffrement pour cartographier l’environnement cible : ...

🌐 Contexte Publié le 10 juin 2026 par Flashpoint sur son blog officiel, cet article accompagne la sortie d’un guide intitulé Identity Is the New Attack Surface: A Guide to Infostealers and Proactive Defense. Il s’appuie sur les données de la Primary Source Collection (PSC) de Flashpoint et sur le rapport 2026 Global Threat Intelligence Report. 📊 Chiffres clés 11,1 millions d’appareils infectés par des infostealers au cours de la dernière année 3,3 milliards de credentials, cookies de session, tokens cloud et artefacts d’identité en circulation sur les marchés illicites 30+ souches d’infostealers actives identifiées dans les écosystèmes underground 48+ milliards de credentials dans la base de données Flashpoint, dont plus d’1 milliard liés à des infostealers 4,2% des credentials exposés via infostealers sont associés à des cookies de navigateur pouvant faciliter le détournement de session Une base de données publiquement exposée début 2026 contenait plus de 149 millions de credentials volés 🦠 Familles de malwares identifiées Flashpoint identifie les souches d’infostealers les plus actives : ...

🔍 Contexte Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026. 🎭 Mécanisme d’usurpation et de détournement de clics L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS). ...