Les vols d'identité facilités par les logiciels malveillants voleurs d'informations représentent l'une des menaces les plus importantes pour les programmes de sécurité informatique des entreprises en 2024. La première partie de cet article traitera de la définition d'un voleur d'informations ; si vous êtes déjà familiarisé avec ce type de logiciel, vous pouvez passer directement à la section suivante.
Les logiciels malveillants voleurs d'informations sont un type de cheval de Troie d'accès à distance (RAT) qui infecte un utilisateur et exfiltre :
- Identifiants enregistrés dans tous les navigateurs présents sur l'ordinateur
- Témoins de session ;
- Historiques de navigateur ;
- Données du portefeuille cryptographique
- Capture d'écran de l'écran de la victime
- Données des hôtes ;
Il existe des dizaines de variantes de logiciels espions ciblant directement le vol d'informations, ainsi que de nombreuses autres variantes de logiciels malveillants pouvant également permettre le vol de données. Une fois l'utilisateur infecté, toutes ces données sont regroupées et envoyées à une infrastructure de commande et de contrôle (C2), où les acteurs malveillants exploitent souvent des failles de sécurité telles que les comptes bancaires avec cookies de session actifs et les portefeuilles de cryptomonnaies pour monétiser rapidement ces accès.
Dans de nombreux cas, les auteurs de ces infections ne sont pas ceux qui utilisent activement les identifiants et autres données volées, mais qui monétisent les identités compromises en les diffusant sur des chaînes Telegram. Ils gèrent une chaîne Telegram publique, gratuite et ouverte à tous, où ils distribuent d'anciens journaux d'activité comme « échantillon » de leurs services. Ils vendent ensuite l'accès à des chaînes privées, pour un prix mensuel de 200 à 500 dollars, donnant accès à des journaux d'activité plus récents.
Comment se produisent les infections
L'analyse des captures d'écran de logiciels espions permet de mieux comprendre comment les utilisateurs sont infectés. Une grande partie des infections provient du téléchargement de logiciels piratés, mais beaucoup sont également dues à des publicités malveillantes (malvertising), à de fausses mises à jour Windows et à des arnaques aux cartes-cadeaux gratuites.
Arnaque aux « cartes-cadeaux gratuites »
Une source d'infection extrêmement courante provient des « jeux repackagés », c'est-à-dire des versions compressées de jeux vidéo modifiées pour réduire leur taille sans altérer le contenu ni les fonctionnalités principales. Ce processus consiste généralement à compresser les fichiers du jeu, à supprimer les éléments non essentiels (comme certaines langues, les vidéos haute définition ou les fichiers inutiles) et parfois à intégrer directement des mises à jour ou des extensions. Les personnes qui repackagent ces jeux peuvent y ajouter des logiciels malveillants, tels que des voleurs d'informations.
Après avoir téléchargé un package infecté par un voleur de données, les victimes sont souvent invitées à désactiver leur antivirus, bien que de nombreuses variantes de ce type de logiciel puissent contourner certaines fonctionnalités antivirus. À droite, vous pouvez voir une capture d'écran d'une victime réelle où le logiciel malveillant lui demande de désactiver son antivirus pour terminer l'installation. Il est également possible que la victime constate une réaction de son antivirus, comme c'est parfois le cas avec les logiciels piratés.
Demande de désactivation de l'antivirus
Contrairement à de nombreux autres types de logiciels malveillants, les voleurs d'informations ne nécessitent pas de privilèges d'administrateur local. Cela les rend particulièrement pernicieux, car leur exécution requiert encore moins de modifications de la part de l'utilisateur.
Utilisation des voleurs d'informations par les acteurs malveillants
La plupart des cybercriminels ne ciblent pas les entreprises, mais cherchent plutôt à gagner facilement quelques dollars en piratant des comptes bancaires, en volant des cryptomonnaies ou en passant des commandes sur des comptes Amazon ou autres plateformes de commerce électronique compromis. En effet, presque tous les voleurs d'informations ciblent spécifiquement les cookies de session. Les cybercriminels peuvent souvent contourner l'authentification multifacteur (MFA) grâce à des paramètres TTL (durée de vie) élevés pour les cookies de session, ce qui représente un avantage supplémentaire par rapport aux extractions de mots de passe classiques.
Structure du journal d'un voleur d'informations
Dans de nombreux cas, les acteurs malveillants valorisent également les identifiants courants des applications payantes mensuelles utilisables à l'insu de la victime, telles que Netflix, NordVPN, Hulu, Steam et autres applications de streaming, de VPN ou de jeux. Dans certains cas, nous avons même constaté que les serveurs de vol d'informations ciblaient spécifiquement ces identifiants.titres de « grande valeur » afin de faciliter l'identification, par les acteurs malveillants, des opportunités de prise de contrôle de comptes.
Voleurs d'informations et accès aux entreprises
Le fait que le principal cas d'utilisation des voleurs d'informations concerne les identifiants personnels ne signifie pas que les acteurs malveillants ne cherchent pas également à identifier les identifiants d'entreprise de valeur. Nous avons constaté des cas précis de courtiers en accès initial (Un type spécifique d'acteur malveillant qui compromet des entreprises puis vend l'accès à d'autres acteurs malveillants) achetant des centaines de milliers de journaux de voleurs afin d'identifier les identifiants d'accès des entreprises.
Pour mener cette recherche, nous avons identifié 50 entreprises ayant récemment subi une fuite de données à partir d'informations publiques (nous ne publions pas la liste afin d'éviter toute stigmatisation). Nous avons ensuite consulté la base de données Flare recensant les vols de données afin d'identifier deux points de données spécifiques :
- Pourcentage d'entreprises dont les identifiants d'entreprise ont fuité : Il s'agissait d'organisations qui avaient au moins une adresse e-mail professionnelle (@nomdelentreprise.com) trouvée dans un registre de voleurs à un moment donné depuis que Flare a commencé à collecter les données.
- Pourcentage d'entreprises dont les identifiants d'entreprise ont fuité dans les six mois suivant une violation de données : Il s'agit du pourcentage d'organisations chez lesquelles un journal de vol de données a été détecté dans les 6 mois précédant ou suivant une violation de données (soit une période totale d'un an).
Dans l’ensemble, nous avons constaté que :
- 90% (45 / 50) Les entreprises victimes de ces intrusions avaient vu leurs identifiants d'entreprise divulgués dans un registre de voleurs.
- 78% (39 / 50) Les entreprises victimes de piratage ont vu leurs identifiants d'entreprise divulgués dans un journal de voleurs dans les 6 mois précédant ou suivant la violation.
Ensuite, nous avons voulu comparer cette situation à celle d'entreprises similaires n'ayant pas subi de violation de données. Pour ce faire, nous avons sélectionné manuellement 50 « entreprises sœurs » présentant des caractéristiques similaires aux entreprises victimes de la violation en termes d'effectifs, de chiffre d'affaires et de secteur d'activité.
Nous avons utilisé un groupe témoin de « sociétés sœurs » et les avons évaluées selon les mêmes critères. Comme aucune violation de données n'avait été signalée chez ces sociétés, nous avons plutôt vérifié si elles avaient subi une compromission de leurs journaux de transactions au cours de l'année écoulée.
- 76% (38 / 50) des sociétés sœurs (organisations qui n'ont pas été compromises) ont subi une compromission de leurs journaux de vol de données à un moment donné.
- 68% (34 / 50) des sociétés sœurs qui n'avaient pas subi de violation de données présentaient un registre de voleurs d'informations d'identification d'employés compromises au cours des 12 derniers mois.
Il convient de noter, premièrement, que ces chiffres sont exceptionnellement élevés. Sur l'ensemble des données, 83 % des entreprises interrogées, toutes tailles et tous secteurs confondus, présentaient des informations d'identification compromises, y compris celles ayant ou non signalé une violation de données. Ce pourcentage est nettement supérieur à celui d'une étude menée l'année dernière, qui avait révélé que… 19.6 % des établissements de santé Des identifiants d'entreprise compromis ont été volés via un logiciel malveillant de type voleur d'informations.
Lors de l'analyse des identifiants d'entreprise compromis, nous avons recherché spécifiquement les comptes de messagerie compromis dans les journaux. Par conséquent, nous avons exclu les établissements d'enseignement supérieur et certains opérateurs de télécommunications où il est courant que les consommateurs utilisent le domaine de l'entreprise comme adresse électronique. Dans les journaux d'entreprise que nous avons examinés, nous avons identifié de nombreux identifiants critiques, notamment :
- connexion.microsoft.com
- nom_de_l'entreprise.slack.com
- nom_de_l'entreprise.okta.com
- sso.nomentreprise.com
- adfs.nom_de_l'entreprise.com
Dans de nombreux cas, un seul utilisateur avait accès à plus d'une douzaine d'identifiants d'entreprise couvrant des applications SaaS, des systèmes technologiques internes et d'autres technologies de l'information d'entreprise essentielles à la mission.
Voleurs d'informations : un risque croissant
Comme évoqué précédemment, les acteurs malveillants ne lancent pas d'attaques massives de vol d'informations dans le seul but de collecter des identifiants d'entreprise. Le vol de ces identifiants peut plutôt être considéré comme un effet secondaire utile et précieux de l'afflux d'identifiants de particuliers. Cependant, de nombreux éléments indiquent que des groupes de Rançongiciels, des courtiers en accès initial et d'autres acteurs analysent les voleurs d'informations pour identifier les accès aux entreprises.
Si l'essor des logiciels malveillants voleurs d'informations était considéré comme un événement isolé, il serait probablement perçu comme la plus importante violation de données de l'histoire. Bien que d'autres violations aient concerné un plus grand nombre d'enregistrements individuels, comme celle d'Equifax, qui a révélé environ 147 millions de données, dont des numéros de sécurité sociale, des noms et des adresses, les logiciels voleurs d'informations contiennent bien plus que cela. Leurs journaux peuvent inclure toutes ces informations, ainsi que l'historique de navigation, les identifiants enregistrés et de nombreuses données personnelles. Nous traitons en moyenne 500 000 journaux de logiciels voleurs d'informations uniques par semaine, et chaque journal contient des milliers, voire des centaines de milliers, de points de données uniques concernant une personne ou une famille.
Recommandations
Nous recommandons aux organisations de mettre immédiatement en place une surveillance des infections par des logiciels malveillants voleurs d'informations afin d'identifier si des identifiants d'entreprise ont été compromis lors d'une telle infection. De plus, nous recommandons :
- Restriction des droits de téléchargement : Limitez la possibilité de télécharger et d'installer des logiciels à un groupe d'utilisateurs restreint. Mettez en place une liste blanche d'applications afin d'empêcher l'installation de logiciels non autorisés, souvent à l'origine d'infections par des logiciels espions.
- Ne partagez pas votre ordinateur professionnel : De nombreuses infections surviennent suite au partage d'ordinateurs professionnels avec les enfants et les conjoints.
- N'accédez pas à du contenu illégal : Applications volées et « reconditionnées » comme les produits Adobe piratés, les jeux et autres logiciels volés. C'est là que se produisent la plupart des infections.
- Désactivation des macros par défaut : Assurez-vous que les macros sont désactivées par défaut dans toutes les applications Office, car des logiciels malveillants peuvent s'introduire dans des documents infectés. Sensibilisez les utilisateurs aux dangers liés à l'activation de macros provenant de sources non fiables.
- Mise à jour et application régulières de correctifs aux logiciels : Maintenez tous vos logiciels, y compris les navigateurs et les plugins, à jour avec les derniers correctifs.
- Surveillance des extensions de navigateurLimitez l'installation des extensions de navigateur susceptibles de diffuser des logiciels malveillants. Contrôlez régulièrement les extensions installées et supprimez celles qui ne sont pas approuvées ou nécessaires au fonctionnement de l'entreprise.
Bûches de voleur et fusée éclairante
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
