Un nouveau logiciel malveillant a été découvert en train de détourner les comptes de médias sociaux des utilisateurs, de voler leurs identifiants de connexion enregistrés et d’utiliser leurs appareils pour extraire des crypto-monnaies, ont averti les experts.
Les chercheurs de l’équipe Advanced Threat Control (ATC) de Bitdefender ont découvert une nouvelle souche qu’ils ont nommée S1deload Stealer qui tente d’éviter d’être détectée par les programmes antivirus grâce à une utilisation intensive du chargement latéral de DLL.
Au cours du second semestre de l’année dernière, les pirates à l’origine de la campagne ont réussi à infecter des centaines de terminaux. (s’ouvre dans un nouvel onglet) avec ce nouveau voleur d’informations :
Des centaines d’appareils infectés
« Entre juillet et décembre 2022, les produits Bitdefender ont détecté plus de 600 utilisateurs uniques infectés par ce malware », a noté le chercheur de Bitdefender, Dávid Ács.
Pour infecter les appareils, les victimes doivent télécharger et exécuter elles-mêmes le logiciel malveillant. Les attaquants ont créé plusieurs archives (fichiers .zip) contenant prétendument du contenu pour adultes. Ceux qui téléchargent et exécutent ce contenu n’obtiendront pas ce pour quoi ils sont venus, mais obtiendront à la place le voleur d’informations, capable de faire plusieurs choses :
Tout d’abord, il peut télécharger et exécuter un navigateur Chrome sans tête qui s’exécute en arrière-plan et ouvre différentes vidéos YouTube et publications Facebook pour augmenter les vues. Il peut télécharger et exécuter un infostealer qui décrypte et exfiltre les identifiants de connexion enregistrés dans les navigateurs, ainsi que les cookies de session.
S’il tombe sur un compte Facebook, il essaiera de l’analyser, pour voir s’il administre des pages ou des groupes Facebook, s’il paie pour des publicités sur la plateforme ou s’il est lié à un compte de chef d’entreprise. De toute évidence, toutes ces choses rendraient ce compte plus précieux.
Enfin, il peut télécharger, installer et exécuter un mineur de crypto-monnaie, exploitant la crypto-monnaie BEAM pour les attaquants. BEAM se décrit comme une « plate-forme confidentielle de crypto-monnaie et DeFi ».
« Le composant voleur que nous avons observé dans la nature vole les informations d’identification enregistrées dans le navigateur de la victime, les exfiltrant vers le serveur de l’auteur du logiciel malveillant », a déclaré Ács. « L’auteur du malware utilise les informations d’identification nouvellement obtenues pour spammer sur les réseaux sociaux et infecter davantage de machines, créant ainsi une boucle de rétroaction. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)