L’origine de l’infection est probablement due à l’utilisation de logiciels contrefaits ou via l’ouverture d’un lien malveillant par le biais d’un courriel dont le but est de piéger l’utilisateur.
Dans le cas ou l’infection par ce Trojan voleur d`identifiants serait confirmé, il faudra prévoir a minima le changement de tous les mots-de-passe utilisés sur le poste.
Actuellement y a de nombreux Trojans du type Info-Stealer qui infecte un grand nombre de postes. La liste comprends de tres nombreuses souches tel que : Raccoon Stealer, RedLine Stealer, Vidar Stealer, Mars Stealer, Privateloader, AZORult, SmokeLoader, Bloody Stealer, Loki Stealer, LokiBot, Copper Stealer, Oski Stealer, KPOT Stealer, Csdi, Disbusk, Fabookie, LgoogLoader, PseudoManuscript, GCleaner, Downloader.INNO, ColdStealer, Formatloader, Shortloader, Arkei stealer, Socelars Bazarloader, Amaday, Socelars, Tofsee, Danabot, Mixloader, Frombook, Fakeupdates, SocGholish et bien autres…
Ces menaces sont du type Malware-as-a-Service / MaaS. Elles permettent le vol de nombreuses données (ID de connexion, données bancaires, cookies de connexion, etc.).
ACTIONS REQUISES :
—————–
– NETTOYAGE DU POSTE UTILISATEUR
– CHANGEMENT DE TOUS LES IDENTIFIANTS ET MOTS DE PASSE (PRO ET PERSO)
– VÉRIFICATION DE L’EXPLOITATION DES ID DE L’UTILISATEUR SUR VOTRE SI.
– VÉRIFICATION D’UNE ATTAQUE EN COURS PAR LATÉRALISATION SUR VOTRE SI.
Pour en savoir plus sur le mode opératoire :
——————————————
Découverte d’une nouvelle campagne de diffusion du maliciel Vidar imitant le nom du site d’AnyDesk, Teamviewer, VideoLAN 7zip, Slack
https://www.bleepingcomputer.com/news/security/over-1-300-fake-anydesk-sites-push-vidar-info-stealing-malware/
https://cyware.com/news/vidar-stealer-operators-exploit-sm-platforms-to-evade-detection-01e3ac94/
https://asec.ahnlab.com/en/44554/
Exemple de Trojans ‘Info Stealer’ associés a des Ransomwares (lockbit, CLOP, etc.)
https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/
NullMixer multiple infections worldwide: Q1 2022
https://securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/
New Info-stealer Disguised as Crack Being Distributed :
https://asec.ahnlab.com/en/35981/
Detail et analyse du Trojan Raccoon Stealer :
https://www.cybereason.com/blog/research/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block
https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/
https://blog.sekoia.io/raccoon-stealer-v2-part-1-the-return-of-the-dead/
https://blog.sekoia.io/fr/raccoon-stealer-v2-partie-2-analyse-approfondie/
Details et Analyses sur la menace : Privateloader
https://intel471.com/blog/privateloader-malware
https://www.bitsight.com/blog/tracking-privateloader-malware-distribution-service
https://www.zscaler.com/blogs/security-research/peeking-privateloader
Biblio sur les menaces :
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar
https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer
https://malpedia.caad.fkie.fraunhofer.de/details/js.fakeupdates
https://malpedia.caad.fkie.fraunhofer.de/details/win.raspberry_robin
Voici quelques liens avec des indicateurs de compromissions permettant la detection de ces menaces, IOC et detection :
https://threatfox.abuse.ch/browse/tag/raccoon/
https://bazaar.abuse.ch/browse/tag/Raccoon/
https://any.run/malware-trends/raccoon
https://tria.ge/s/family:raccoon
…
https://threatfox.abuse.ch/browse/malware/win.redline_stealer/
https://tria.ge/s/family:redline
…
https://threatfox.abuse.ch/browse/malware/win.privateloader/
https://bazaar.abuse.ch/browse/signature/PrivateLoader/
…
https://threatfox.abuse.ch/browse/malware/win.vidar/
https://bazaar.abuse.ch/browse/tag/vidar/
…
https://threatfox.abuse.ch/browse/tag/RecordBreaker/
https://bazaar.abuse.ch/browse/tag/recordbreaker/
…
https://threatfox.abuse.ch/browse/tag/azorult
https://bazaar.abuse.ch/browse/signature/azorult
…
https://tria.ge/s?qtags:infostealer
Rhadamanthys
on juillet 17, 2025
with Aucun commentaire