Trojan Info-Stealer

with Aucun commentaire

L’origine de l’infection est probablement due à l’utilisation de logiciels contrefaits ou via l’ouverture d’un lien malveillant par le biais d’un courriel dont le but est de piéger l’utilisateur.

Dans le cas où l’infection par ce Trojan voleur d`identifiants serait confirmé, il faudra prévoir a minima le changement de tous les identifiants de cet utilisateur.

Actuellement il y a de nombreux Trojans du type Info-Stealer qui infecte un grand nombre de postes.

La liste comprends de très nombreuses souches tel que :
 Raccoon Stealer, RedLine Stealer, Vidar Stealer, Mars Stealer, Privateloader, AZORult, SmokeLoader, Bloody Stealer, Loki Stealer, LokiBot, Copper Stealer, Oski Stealer, KPOT Stealer, Csdi, Disbusk, Fabookie, LgoogLoader, PseudoManuscript, GCleaner, Downloader.INNO, ColdStealer, Formatloader, Shortloader, Arkei stealer, Socelars Bazarloader, Amaday, Socelars, Tofsee, Danabot, Mixloader, Frombook, Fakeupdates, SocGholish  et bien autres …

Ces menaces sont du type Malware-as-a-Service / MaaS. Elles permettent le vol de nombreuses données (ID de connexion, données bancaires, cookies de connexion, etc.).

La detection d`un malware du type Info Stealer peut-être le signe avant-coureur d’une attaque plus générale. Ces menaces peuvent conduire à un INCIDENT MAJEUR. En effet, elles sont associées à plusieurs chaînes de diffusion de multiples codes malveillants facilitant l’infection de plusieurs types de ransomwares.

 ACTIONS REQUISES :
 —————–
 – NETTOYAGE DU POSTE UTILISATEUR
 – CHANGEMENT DE TOUS LES IDENTIFIANTS ET MOTS DE PASSE (PRO ET PERSO)
 – VÉRIFICATION DE L’EXPLOITATION DES ID DE L’UTILISATEUR SUR VOTRE SI.
 – VÉRIFICATION D’UNE ATTAQUE EN COURS PAR LATÉRALISATION SUR LE SI.

 Pour en savoir plus sur le mode opératoire:
 ——————————————

 Découverte d’une nouvelle campagne de diffusion du maliciel Vidar imitant le nom du site d’AnyDesk, Teamviewer, VideoLAN 7zip, Slack

https://www.bleepingcomputer.com/news/security/over-1-300-fake-anydesk-sites-push-vidar-info-stealing-malware/https://cyware.com/news/vidar-stealer-operators-exploit-sm-platforms-to-evade-detection-01e3ac94/
https://asec.ahnlab.com/en/44554/

Exemple de Trojans ‘Info Stealer’ associés à des Ransomwares (lockbit, CLOP, etc…)
https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

NullMixer multiple infections worldwide: Q1 2022
https://securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/

New Info-stealer Disguised as Crack Being Distributed:
https://asec.ahnlab.com/en/35981/

Détail et analyse du Trojan Raccoon Stealer:
https://www.cybereason.com/blog/research/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block
https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/
https://blog.sekoia.io/raccoon-stealer-v2-part-1-the-return-of-the-dead/
https://blog.sekoia.io/fr/raccoon-stealer-v2-partie-2-analyse-approfondie/

Détails et Analyses sur la menace : Privateloader
https://intel471.com/blog/privateloader-malware
https://www.bitsight.com/blog/tracking-privateloader-malware-distribution-service
https://www.zscaler.com/blogs/security-research/peeking-privateloader

Biblio sur les menaces:
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar
https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer
https://malpedia.caad.fkie.fraunhofer.de/details/js.fakeupdates
https://malpedia.caad.fkie.fraunhofer.de/details/win.raspberry_robin
 …

Voici quelques liens avec des indicateurs de compromissions permettant la détection de ces menaces, IOC et détection :
https://threatfox.abuse.ch/browse/tag/raccoon/
https://bazaar.abuse.ch/browse/tag/Raccoon/
https://any.run/malware-trends/raccoon
https://tria.ge/s/family:raccoon

https://threatfox.abuse.ch/browse/malware/win.redline_stealer/
https://tria.ge/s/family:redline

https://threatfox.abuse.ch/browse/malware/win.privateloader/
https://bazaar.abuse.ch/browse/signature/PrivateLoader/

https://threatfox.abuse.ch/browse/malware/win.vidar/
https://bazaar.abuse.ch/browse/tag/vidar/

https://threatfox.abuse.ch/browse/tag/RecordBreaker/
https://bazaar.abuse.ch/browse/tag/recordbreaker/

https://threatfox.abuse.ch/browse/tag/azorult
https://bazaar.abuse.ch/browse/signature/azorult

https://tria.ge/s?qtags:infostealer