Infostealer

Un infostealer (ou voleur d'information) est un terme d'informatique désignant une forme de logiciel malveillant créé dans le but de pénétrer les systèmes informatiques et d'y voler des informations sensibles. Il peut notamment s'agir d'informations de connexion, d'informations financières ou d'autres données personnelles. Les informations volées sont ensuite mises en paquet, envoyées à l’attaquant et vendues sur des marchés illicites à d’autres cybercriminels.

Les infostealers sont généralement composés de deux parties : le framework du bot qui permet à l'attaquant de configurer le comportement du voleur d'informations sur l'ordinateur de la victime, et le panneau de gestion qui prend la forme d'un serveur auquel le voleur d'informations envoie des données. Les voleurs d'informations s'infiltrent généralement par le phishing, l'infection de sites Web ou les téléchargements de logiciels malveillants (notamment des mods de jeux vidéo et des logiciels piratés). Une fois téléchargés, les infostealers collectent des informations sensibles sur l'appareil de l'utilisateur et les envoient au serveur.

Les infostealers sont souvent distribués selon le modèle du « malware en tant que service » (MaaS), où les développeurs permettent à d'autres cybercriminels d'en faire usage moyennant des frais d'abonnement. Cela permet même aux personnes ayant un bas niveau de connaissance technique de déployer un infostealer. Les fonctionnalités de ces malwares peuvent varier, certains se concentrant sur la collecte de données, tandis que d'autres offrent un accès à distance permettant d'exécuter des logiciels malveillants supplémentaires. Les données volées peuvent ensuite être utilisées lors de campagnes d'hameçonnage pour d’autres cyberattaques, comme le déploiement de rançongiciels.

La prolifération des services d'infostealer en tant que service a contribué à une augmentation du nombre d’incidents de cybersécurité. Le nombre d'historiques de log volés vendus sur les forums cybercriminels russes, a considérablement augmenté depuis 2022. Selon une étude de Kaspersky (réalisée mi-2023), 24 % des malwares proposés en tant que service sont des voleurs d'informations.

Aperçu

Le vol d'informations d'identification est un mécanisme d'attaque commun. Les pirates volent les noms d'utilisateur, les mots de passe ou les cookies pour accéder illégitimement aux comptes en ligne ou à l'ordinateur d'une victime. Une cyberattaque peut être décomposée en plusieurs étapes dont la première consiste souvent en l’acquisition d'identifiants volés.

Les infostealers permettent typiquement d'accomplir cette étape. Ils se composent généralement de deux parties distinctes : le framework du bot et un serveur de commande et de contrôle, souvent appelé « panneau de gestion » ou « interface »^[1]. Le framework du bot comprend un générateur qui permet à l'attaquant de configurer le comportement du voleur d'informations sur l'ordinateur d'un utilisateur et le type d'informations qu'il volera. L'interface de gestion, généralement écrite dans des langages de programmation Web traditionnels tels que PHP, HTML et JavaScript^[2], est généralement hébergée sur l'infrastructure cloud commerciale^[3]. L'interface de gestion fonctionne principalement comme un serveur Web auquel le voleur d'informations envoie des informations confidentielles. L'interface fournit également à l'attaquant des informations sur l'état des infostealers déployés et lui permet de contrôler leur comportement^[2].

Distribution et utilisation

Les infostealers sont généralement distribués via le modèle du malware en tant que service (MaaS), permettant à des individus possédant des connaissances techniques variées de déployer ces programmes malveillants. Au sein de ce modèle, trois groupes distincts émergent généralement : les développeurs, les fournisseurs de services et les opérateurs. Les développeurs (les plus compétents techniquement) écrivent le code du malware. Les fournisseurs de services achètent des licences pour le logiciel malveillant et les proposent en tant que service à d’autres cybercriminels. Les opérateurs (qui peuvent être eux-mêmes des développeurs ou des prestataires de services selon leur niveau de compétence) utilisent ces services pour effectuer des vols d'identifiants^[1].

Une fois le logiciel malveillant acheté, il est propagé sur les machines des victimes à l’aide de diverses techniques d'ingénierie sociale. Le hameçonnage, ciblé ou non, est couramment utilisé. Les voleurs d'informations sont généralement intégrés dans des pièces jointes d'e-mails ou dans des liens malveillants qui renvoient vers des sites Web effectuant des téléchargements intempestifs^[2]^,^[4]. Ils sont souvent associés à des extensions de navigateur compromises ou malveillantes, à des packages de triche de jeu infectés et à des logiciels piratés ou autrement compromis^[4]. Une fois le voleur téléchargé et exécuté par une victime, il communique avec les serveurs de commande et de contrôle de l'attaquant, permettant à ce dernier de voler des informations sur l'ordinateur de l'utilisateur. Bien que la plupart des voleurs d'informations ciblent principalement les informations d'identification, certains permettent également aux attaquants d'introduire et d'exécuter à distance d'autres logiciels malveillants, tels que des ransomwares, sur l'ordinateur de la victime^[1]^,^[5].

Les informations d'identification obtenues à partir d'attaques de vol d'informations sont souvent distribuées sous forme de journaux ou de vidages d'informations d'identification, généralement partagés sur des sites de partage comme Pastebin, où les cybercriminels peuvent proposer des échantillons gratuits, ou vendus en gros sur des forums de piratage, souvent pour des montants aussi bas que 10 $^[6]^,^[7]. Les acheteurs de ces identifiants volés se connectent généralement pour évaluer leur valeur, en recherchant notamment des identifiants associés à des services financiers ou liés à d'autres identifiants présentant des modèles similaires, car ceux-ci sont particulièrement précieux^[8]. Les identifiants de grande valeur sont souvent vendus à d'autres cybercriminels à des prix plus élevés^[9], qui peuvent ensuite les utiliser pour divers crimes, et ce notamment pour la fraude financière^[10], en intégrant les identifiants dans des Botnets et des opérations de renforcement de la réputation^[10], ou comme tremplins pour des attaques plus sophistiquées telles que l'escroquerie d'entreprises, la distribution de ransomwares ou la conduite d'espionnage^[6]^,^[11]. Certains cybercriminels utilisent des identifiants volés pour des attaques d'ingénierie sociale, se faisant passer pour le propriétaire d'origine pour prétendre avoir été victime d'un crime et solliciter de l'argent auprès des contacts de la victime^[12]^,^[13]. De nombreux acheteurs de ces identifiants volés prennent des précautions pour conserver l'accès pendant des périodes plus longues, comme changer les mots de passe et utiliser le réseau Tor pour masquer leur emplacement, ce qui permet d'éviter d'être détectés par des services qui pourraient autrement identifier et fermer les identifiants volés^[12]^,^[13].

Caractéristiques

La fonction principale d’un infostealer est d’exfiltrer des informations sensibles sur la victime vers les serveurs de commande et de contrôle d’un attaquant. Le type exact de données exfiltrée dépend des fonctionnalités de vol de données activées par l'opérateur et de la variante spécifique de l'infostealer utilisée^[14]. Cependant, la plupart des voleurs d'informations comprennent des fonctionnalités permettant de collecter diverses informations sur le système d'exploitation hôte, ainsi que sur les paramètres système et les profils utilisateur. Certains voleurs d'informations plus avancés incluent la capacité d'introduire des logiciels malveillants secondaires tels que des chevaux de Troie d'accès à distance et des rançongiciels^[2].

En 2009, les chercheurs de l'équipe Rapid Response de Symantec publient une analyse technique de l'infostealer Zeus, l'un des premiers voleurs d'information jamais créé^[15]. Ils découvrent alors que le logiciel malveillant exfiltrait automatiquement toutes les données stockées dans le service de stockage protégé d'un ordinateur (généralement utilisé par Internet Explorer pour stocker les mots de passe) et tentait de capturer tous les mots de passe envoyés à l'ordinateur à l'aide des protocoles POP3 et FTP. En plus de cela, le logiciel malveillant permet aux chercheurs de définir un ensemble de fichiers de configuration pour spécifier une liste d'injections Web à effectuer sur l'ordinateur d'un utilisateur ainsi qu'un autre fichier de configuration qui contrôlait les URL Web que le logiciel malveillant surveillerait. Une autre configuration a également permis aux chercheurs de définir un ensemble de règles qui pourraient être utilisées pour tester si des requêtes HTTP supplémentaires contenaient des mots de passe ou d'autres informations sensibles^[16].

En 2020, des chercheurs de l'Université de technologie d'Eindhoven mènent une étude analysant les informations disponibles à la vente sur le marché noir des identifiants "impaas.ru". Dans le cadre de leur étude, ils reproduisent le fonctionnement d’une version du voleur d’informations AZORult. Parmi les fonctions découvertes par les chercheurs figure un générateur permettant aux opérateurs de définir quel type de données seraient volées. Les chercheurs ont également trouvé des preuves de plugins qui volaient l'historique de navigation d'un utilisateur, un mécanisme personnalisable basé sur des expressions régulières qui permet à l'attaquant de récupérer des fichiers arbitraires à partir de l'ordinateur d'un utilisateur, un module d'extraction de mot de passe de navigateur, un module pour extraire l'historique Skype et un module pour trouver et exfiltrer les fichiers de portefeuilles de crypto-monnaie^[14].

Les chercheurs constatent aussi que les données les plus fréquemment volées à l'aide des infostealers AZORult et vendues sur le marché noir pouvaient être classées en trois grands types : les empreintes digitales, les cookies et les ressources. Les empreintes digitales sont constituées d’identifiants construits en sondant une variété de fonctionnalités mises à disposition par le navigateur. Ils ne sont pas liés à un service spécifique mais sont considérés comme un identifiant unique et précis pour les navigateurs d'un utilisateur. Les cookies permettent aux acheteurs de détourner la session de navigation d'une victime en l'injectant dans un environnement de navigateur. Les ressources font référence aux fichiers liés au navigateur trouvés sur le système d'exploitation d'un utilisateur, tels que les fichiers de stockage de mots de passe^[17].

Économie et impact

La mise en place d'opérations de vol d'informations est de plus en plus accessible, notamment grâce à l'essor du modèle de malware en tant que service. Ces derniers réduisent fortement les barrières financières et techniques, permettant ainsi cybercriminels sans connaissances techniques de s'y livrer^[2]. Dans un article de 2023, des chercheurs du Georgia Institute of Technology notent que le marché des infostealers hébergés est extrêmement mature et très compétitif, certains opérateurs proposant de mettre en place des voleurs d'informations pour seulement 12 $^[18]. Pour les fournisseurs de services qui exécutent ces opérations de vol, les chercheurs ont estimé qu'un opérateur de voleur d'informations typique n'encourrait que quelques coûts ponctuels : la licence d'utilisation du voleur d'informations, obtenue auprès d'un développeur de logiciels malveillants, et les frais d'enregistrement du domaine utilisé pour héberger le serveur de commande et de contrôle. Le principal coût permanent supporté par ces opérateurs est le coût associé à l’hébergement des serveurs. Sur la base de ces calculs, les chercheurs ont conclu que le modèle commercial du voleur en tant que service était extrêmement rentable. De nombreux opérateurs réalisent des marges bénéficiaires de plus de 90 % avec des revenus de plusieurs milliers de dollars^[19].

En raison de leur grande rentabilité et accessibilité, le nombre d’incidents de cybersécurité impliquant des voleurs d’informations a augmenté^[6]. Le passage post-pandémie de la COVID-19 vers le télétravail, où les entreprises donnent aux employés accès aux services de l'entreprise sur leurs PC à domicile, a également été cité comme l'une des raisons de l'augmentation de l'efficacité des infostealers^[6]^,^[20]. En 2023, une étude menée par Secureworks a révélé que le nombre de journaux d'infostealers — données exfiltrées de chaque ordinateur — vendus sur le marché russe, le plus grand marché souterrain, était passé de 2 million à 5 millions de journaux de juin 2022 à février 2023^[20]. Selon une étude de Kaspersky réalisée à la mi-2023, 24 % des malwares proposés en tant que service sont des voleurs d'informations^[21].

Références

↑ ^{a b et c} Avgetidis et al. 2023, p. 5308
↑ ^{a b c d et e} Avgetidis et al. 2023, p. 5308–5309
↑ Avgetidis et al. 2023, p. 5314,5319
↑ ^{a et b} Nurmi, Niemelä et Brumley 2023, p. 1
↑ Ryan 2021, p. 76
↑ ^{a b c et d} Newman 2024
↑ Nurmi, Niemelä et Brumley 2023, p. 2
↑ Nurmi, Niemelä et Brumley 2023, p. 6
↑ Nurmi, Niemelä et Brumley 2023, p. 7
↑ ^{a et b} Nurmi, Niemelä et Brumley 2023, p. 8
↑ Muncaster 2023
↑ ^{a et b} Onaolapo, Mariconti et Stringhini 2016, p. 65,70,76
↑ ^{a et b} Bursztein et al. 2014, p. 353
↑ ^{a et b} Campobasso et Allodi 2020, p. 1669
↑ Grammatikakis et al. 2021, p. 121
↑ Nicolas et Chien 2009, p. 3–4
↑ Campobasso et Allodi 2020, p. 1669–1670
↑ Avgetidis et al. 2023, p. 5309
↑ Avgetidis et al. 2023, p. 5318
↑ ^{a et b} Hendery 2023
↑ Lyons 2024

[usenix5308-1] {a b et c} Avgetidis et al. 2023, p. 5308

[usenix5308-5309-2] {a b c d et e} Avgetidis et al. 2023, p. 5308–5309

[3] Avgetidis et al. 2023, p. 5314,5319

[finance1-4] {a et b} Nurmi, Niemelä et Brumley 2023, p. 1

[ryan-5] Ryan 2021, p. 76

[wired-6] {a b c et d} Newman 2024

[finance2-7] Nurmi, Niemelä et Brumley 2023, p. 2

[finance6-8] Nurmi, Niemelä et Brumley 2023, p. 6

[finance7-9] Nurmi, Niemelä et Brumley 2023, p. 7

[finance8-10] {a et b} Nurmi, Niemelä et Brumley 2023, p. 8

[11] Muncaster 2023

[what_happen-12] {a et b} Onaolapo, Mariconti et Stringhini 2016, p. 65,70,76

[imc353-13] {a et b} Bursztein et al. 2014, p. 353

[impaas1669-14] {a et b} Campobasso et Allodi 2020, p. 1669

[15] Grammatikakis et al. 2021, p. 121

[symantec-16] Nicolas et Chien 2009, p. 3–4

[impaas1669-70-17] Campobasso et Allodi 2020, p. 1669–1670

[usenix5309-18] Avgetidis et al. 2023, p. 5309

[usenix5318-19] Avgetidis et al. 2023, p. 5318

[scmedia-20] {a et b} Hendery 2023

[register-21] Lyons 2024

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]