Une startup de recherche en sécurité et de piratage affirme avoir trouvé une faille de codage qui lui permet de verrouiller les opérateurs du malware Mars Stealer de leurs propres serveurs et de libérer leurs victimes.
Mars Stealer est un logiciel malveillant de vol de données en tant que service, permettant aux cybercriminels de louer l’accès à l’infrastructure pour lancer leurs propres attaques. Le logiciel malveillant lui-même est souvent distribué sous forme de pièces jointes à des e-mails, de publicités malveillantes et regroupé avec des fichiers torrent sur des sites de partage de fichiers. Une fois infecté, le logiciel malveillant vole les mots de passe et les codes à deux facteurs d’une victime à partir de ses extensions de navigateur, ainsi que le contenu de ses portefeuilles de crypto-monnaie. Le logiciel malveillant peut également être utilisé pour diffuser d’autres charges utiles malveillantes, telles que des rançongiciels.
Plus tôt cette année, une copie fissurée du logiciel malveillant Mars Stealer a été divulguée en ligne, permettant à quiconque de créer son propre serveur de commande et de contrôle Mars Stealer, mais sa documentation était défectueuse et guidait les mauvais acteurs potentiels pour configurer leurs serveurs d’une manière qui exposer par inadvertance les fichiers journaux remplis de données utilisateur volées sur les ordinateurs des victimes. Dans certains cas, l’opérateur s’infecterait par inadvertance avec des logiciels malveillants et exposerait ses propres données privées.
Mars Stealer a gagné du terrain en mars après le démantèlement de Raccoon Stealer, un autre logiciel malveillant populaire de vol de données. Cela a conduit à une augmentation des nouvelles campagnes Mars Stealer, y compris le ciblage massif de l’Ukraine dans les semaines qui ont suivi l’invasion russe, et un effort à grande échelle pour infecter les victimes par des publicités malveillantes. En avril, des chercheurs en sécurité ont déclaré avoir trouvé plus de 40 serveurs hébergeant Mars Stealer.
Maintenant, Buguard, une startup de test d’intrusion, a déclaré que la vulnérabilité qu’elle a découverte dans le logiciel malveillant divulgué lui permet de s’introduire à distance et de « vaincre » les serveurs de commande et de contrôle Mars Stealer qui sont utilisés pour voler des données sur les ordinateurs infectés de la victime.
Youssef Mohamed, directeur de la technologie de la société, a déclaré à TechCrunch que la vulnérabilité, une fois exploitée, supprime les journaux du serveur Mars Stealer ciblé, met fin à toutes les sessions actives qui coupent les liens avec les ordinateurs des victimes, puis brouille le mot de passe du tableau de bord afin que le les opérateurs ne peuvent pas se reconnecter.
Mohamed a déclaré que cela signifie que l’opérateur perd l’accès à toutes ses données volées et devrait à nouveau cibler et réinfecter ses victimes.
Cibler activement les serveurs des mauvais acteurs et des cybercriminels, connu sous le nom de « hacking back », est peu orthodoxe et vivement débattu à la fois pour ses mérites et ses inconvénients, et pourquoi la pratique aux États-Unis est uniquement réservée aux agences gouvernementales. Un principe généralement accepté dans la recherche de bonne foi sur la sécurité est de regarder mais de ne pas toucher à quelque chose trouvé en ligne s’il ne vous appartient pas ; seulement le documenter et le signaler. Mais alors qu’une tactique courante consiste à demander aux hébergeurs Web et aux bureaux d’enregistrement de domaines de fermer les domaines malveillants, certains acteurs malveillants s’installent dans des pays et sur des réseaux où ils peuvent opérer leurs opérations malveillantes en grande partie en toute impunité légale et sans crainte de poursuites.
Mohamed a déclaré que sa société avait découvert et neutralisé jusqu’à présent cinq serveurs Mars Stealer, dont quatre se sont ensuite déconnectés. La société ne publie pas la vulnérabilité afin de ne pas avertir les opérateurs, mais a déclaré qu’elle partagerait les détails de la faille avec les autorités dans le but d’aider à éliminer davantage d’opérateurs de Mars Stealer. La vulnérabilité existe également dans Erbium, un autre malware voleur de données avec un modèle de malware en tant que service similaire à Mars Stealer, a déclaré Mohamed.