Trojan Info-Stealer FakeUpdates – Direction des Ressources Informatiques

Détails et analyses sur la menace ‘FakeUpdates’:

THREAT ANALYSIS REPORT: SocGholish and Zloader

https://www.cybereason.com/blog/threat-analysis-report-socgholish-and-zloader-from-fake-updates-and-installers-to-owning-your-systems

SocGholish malware is a very real threat from a very fake update

https://www.proofpoint.com/us/blog/threat-insight/part-1-socgholish-very-real-threat-very-fake-update

Pour en savoir plus sur la menace ‘FakeUpdates’ :

https://malpedia.caad.fkie.fraunhofer.de/details/js.fakeupdates

Dans le cas où l’infection par ce Trojan voleur d`identifiants serait confirmée, il faudra prévoir a minima le changement de tous les identifiants de l’utilisateur.

Actuellement y a de nombreux Trojans du type Info-Stealer qui infectent un grand nombre de postes.

La liste comprends de très nombreuses souches tel que :

Raccoon Stealer, RedLine Stealer, Vidar Stealer, Mars Stealer, Privateloader, AZORult, SmokeLoader, Bloody Stealer, Loki Stealer, LokiBot, Copper Stealer, Oski Stealer, KPOT Stealer, Csdi, Disbusk,Fabookie, LgoogLoader, PseudoManuscript, GCleaner, Downloader.INNO, ColdStealer, Formatloader, Shortloader, Arkei stealer, Socelars Bazarloader, Amaday, Socelars, Tofsee, Danabot, Mixloader, Frombook, Fakeupdates, SocGholish et bien d’autres …

Ces menaces sont du type Malware-as-a-Service / MaaS. Elles permettent le vol de nombreuses données (ID de connexion, données bancaires, cookies de connexion, etc.).

La detection d`un malware du type Info Stealer peut-êtrele signe avant-coureur d’une attaque sur l’ensemble du SI.

Ces menaces peuvent conduire à un INCIDENT MAJEUR.

En effet elles sont associées à plusieurs chaînes de diffusion de codes malveillants facilitant l’infection par plusieurs types de ransomwares.

ACTIONS REQUISES :

—————–

NETTOYAGE DU POSTE UTILISATEUR
CHANGEMENT DE TOUS LES IDENTIFIANTS ET MOTS DE PASSE (PRO ET PERSO)

Pour en savoir plus sur le mode opératoire :

——————————————

Découverte d’une nouvelle campagne de diffusion du maliciel Vidar imitant le nom du site d’AnyDesk, Teamviewer, VideoLAN 7zip, Slackhttps://www.bleepingcomputer.com/news/security/over-1-300-fake-anydesk-sites-push-vidar-info-stealing-malware/

https://cyware.com/news/vidar-stealer-operators-exploit-sm-platforms-to-evade-detection-01e3ac94/

https://asec.ahnlab.com/en/44554/

Exemple de Trojans ‘Info Stealer’ associé à des Ransomwares (Lockbit, CLOP, etc…)

https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

NullMixer multiple infections worldwide: Q1 2022

https://securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/

New Info-stealer Disguised as Crack Being Distributed :

https://asec.ahnlab.com/en/35981/