Une nouvelle souche de logiciels malveillants d’information appelée Voleur d’électricité a été trouvé infectant des appareils exécutant Microsoft Windows pour siphonner des informations personnelles et de paiement sensibles.
« Statc Stealer présente un large éventail de capacités de vol, ce qui en fait une menace importante », ont déclaré les chercheurs de Zscaler ThreatLabz, Shivam Sharma et Amandeep Kumar, dans un rapport technique publié cette semaine.
« Il peut voler des informations sensibles de divers navigateurs Web, y compris les données de connexion, les cookies, les données Web et les préférences. De plus, il cible les portefeuilles de crypto-monnaie, les informations d’identification, les mots de passe et même les données d’applications de messagerie comme Telegram. »
Écrit en C++, le voleur malveillant trouve son chemin dans les systèmes des victimes lorsque les victimes potentielles sont amenées à cliquer sur des publicités apparemment anodines, le voleur imitant un format de fichier vidéo MP4 sur des navigateurs Web comme Google Chrome.
La charge utile de la première étape, tout en déposant et en exécutant un programme d’installation PDF leurre, déploie également furtivement un binaire de téléchargement qui procède à la récupération du malware voleur à partir d’un serveur distant via un script PowerShell.
Le voleur comporte des vérifications sophistiquées pour inhiber la détection de bac à sable et l’analyse d’ingénierie inverse, et établit des connexions avec un serveur de commande et de contrôle (C&C) pour exfiltrer les données récoltées à l’aide de HTTPS.
L’une des anti-analyses comprend une comparaison des noms de fichiers pour inspecter toute divergence et arrêter son exécution, si elle est trouvée. Les navigateurs Web ciblés incluent Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera et Yandex Browser.
« L’importance de la technique d’exfiltration de Statc Stealer réside dans sa capacité à voler des données sensibles du navigateur et à les envoyer en toute sécurité à son serveur C&C », ont déclaré les chercheurs. « Cela permet au logiciel malveillant de récolter des informations précieuses, telles que les identifiants de connexion et les détails personnels, à des fins malveillantes telles que le vol d’identité et la fraude financière. »
Les résultats surviennent alors qu’eSentire a publié une analyse d’une version mise à jour de Raccoon Stealer, dont la version 2.1 a été publiée plus tôt en février.
Les auteurs de Raccoon Stealer ont temporairement interrompu les travaux sur le logiciel malveillant l’année dernière après l’arrestation de Mark Sokolovsky en mars 2022, qui a été dénoncé comme l’un des principaux développeurs après avoir commis l’erreur fatale de lier un compte Gmail qu’il utilisait pour s’inscrire à un forum sur la cybercriminalité sous le pseudonyme de Photix à un compte Apple iCloud, révélant ainsi son identité réelle.
« La version mise à jour comprend des fonctionnalités telles que la collecte de données Signal Messenger, le nettoyage de la détection Defender (modification probable du code, obfuscation pour éviter les détections) et le forçage automatique pour les portefeuilles cryptographiques », a noté eSentire la semaine dernière.
