L’origine de l’infection est probablement due à l’utilisation de logiciels contrefaits ou via l’ouverture d’un lien malveillant par le biais d’un courriel dont le but est de piéger l’utilisateur.
Dans le cas où l’infection par ce Trojan ‘voleur d’identifiants’ serait confirmée, il faudra prévoir a minima le changement de tous les identifiants de cet utilisateur.
Cette menace est du type Malware-as-a-Service (MaaS). Elle permet le vol de nombreuses données (ID, données bancaires, cookies de connexion, identifiants de réseaux sociaux, etc…)
La détection du malware Trojan:Redline/Vidar Stealer peut-être aussi le signe avant-coureur d’une attaque de plus grande ampleur.
En effet, il est associé à la chaîne de diffusion d’autres codes malveillants tels que : Rig Exploit Kit (RigEK), Raccoon Stealer, Smokeloader et autres qui font partie de la chaîne d’infection de plusieurs ransomwares.
ACTIONS REQUISES :
—————–
– NETTOYAGE DU POSTE UTILISATEUR
– CHANGEMENT DE TOUS LES IDENTIFIANTS ET MOTS DE PASSE
Il s’agirait d’une souche associée aux trojans
Raccoon Stealer / PrivateLoader / RecordBreaker /
Vidar Stealer / RedLine Stealer / et autres…
IOCs et détection:
https://threatfox.abuse.ch/browse/malware/win.redline_stealer/
https://tria.ge/s/family:redline
https://any.run/malware-trends/redline
https://tria.ge/s/family:redline
IOC et détection:
https://threatfox.abuse.ch/browse/malware/win.vidar/
https://bazaar.abuse.ch/browse/tag/vidar/
https://any.run/malware-trends/vidar
https://tria.ge/s/family:vidar
IOC et détection:
https://threatfox.abuse.ch/browse/tag/raccoon/
https://bazaar.abuse.ch/browse/tag/Raccoon/
IOC et détection:
https://threatfox.abuse.ch/browse/malware/win.privateloader/
https://bazaar.abuse.ch/browse/signature/PrivateLoader/
IOC et détection:
https://threatfox.abuse.ch/browse/tag/RecordBreaker/
https://bazaar.abuse.ch/browse/tag/recordbreaker/
IOC et détection:
https://threatfox.abuse.ch/browse/tag/azorult
https://bazaar.abuse.ch/browse/signature/azorult
Pour en savoir plus sur le mode opératoire :
NullMixer multiple infections worldwide: Q1 2022
New Info-stealer Disguised as Crack Being Distributed:
Détail et analyse du Trojan Raccoon Stealer:
https://www.cybereason.com/blog/research/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block
https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/
https://blog.sekoia.io/raccoon-stealer-v2-part-1-the-return-of-the-dead/
https://blog.sekoia.io/fr/raccoon-stealer-v2-partie-2-analyse-approfondie/
Détails et Analyses sur la menace : Privateloader
https://intel471.com/blog/privateloader-malware
https://www.bitsight.com/blog/tracking-privateloader-malware-distribution-service
https://www.zscaler.com/blogs/security-research/peeking-privateloader
Biblio sur les menaces:
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar
https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer