Report – Stealer Logs, Single Sign On, and the New Era of Corporate Cybercrime

Introduction

Combien d’identifiants avez-vous enregistrés dans votre navigateur ? Combien de formulaires sont remplis ? Combien de cartes de crédit ? Ces questions peuvent sembler anodines, mais l’avènement des logiciels malveillants infostealer les rend d’autant plus pertinentes. Les variantes d'Infostealer telles que RedLine, Raccoon et Vidar infectent les ordinateurs et volent l'empreinte digitale du navigateur, qui contient tous les mots de passe enregistrés dans le navigateur ainsi que les données de remplissage des formulaires. 

Il y a une tendance à se concentrer sur Mot de passe  Dans ce contexte, après tout, les mots de passe constituent la clé de voûte d’une grande partie de l’architecture de sécurité moderne. Mais les mots de passe ne représentent qu’une petite partie des données que les acteurs malveillants obtiennent à partir d’un journal des voleurs. Pour de nombreuses personnes, les informations enregistrées dans leur navigateur constituent une feuille de route pour leur vie, contenant toutes les informations dont un acteur malveillant a besoin pour lancer des attaques d’ingénierie sociale très sophistiquées. 

Pour cette raison, les journaux de vol sont probablement l’un des principaux vecteurs utilisés par les acteurs de la menace pour les ransomwares et autres attaques contre les environnements d’entreprise. Des milliers d’empreintes digitales de navigateurs individuels sont collectées. Ces « journaux » sont ensuite regroupés et distribués sur Telegram. Ce rapport examinera les journaux des voleurs et leur utilisation dans les cyberattaques contre les entreprises. 

Ce rapport Flare s'inspire du attaques récentes contre les applications SSO d'entreprise. Nous estimons qu'il est très probable qu'une grande partie de l'augmentation des attaques ciblant les environnements SSO d'entreprise soit en partie due à la croissance sous-jacente des voleurs d'informations possédant des informations d'identification d'entreprise. Il existe des preuves irréfutables que les auteurs de menaces utilisent à la fois les journaux des voleurs pour obtenir un accès initial aux environnements d'entreprise pour les attaques de ransomwares, les listes de courtiers d'accès initial, et bien plus encore.

Principales conclusions

• L'équipe de recherche de Flare a identifié 312,855 XNUMX identifiants SSO d'entreprise dans les journaux de voleurs distribués sur les marchés du dark web et sur les canaux Telegram publics et privés. 
• Les journaux des voleurs peuvent être extrêmement précieux pour les organisations ciblant la criminalité financière et la cybercriminalité. Les ensembles d'informations d'identification enregistrés dans les journaux des voleurs permettent aux auteurs de menaces d'obtenir d'énormes informations sur des cibles particulières en plus de révéler des modèles de mots de passe courants.
• Les logiciels malveillants Infostealer peuvent être achetés pour seulement 100 $ par mois, avec une infrastructure de commande et de contrôle sur les canaux Telegram, créant ainsi une faible barrière d'entrée pour les acteurs malveillants.
• Les panneaux de logiciels malveillants Infostealer tels que RedLine analysent automatiquement les journaux et appellent des informations d'identification de grande valeur telles que les applications de services bancaires et financiers.
• Les applications SSO et la prolifération des journaux de vol créent un point de défaillance unique extrêmement risqué. Les acteurs menaçants ne sont qu’à un jeton 2FA d’un accès total à un environnement d’entreprise. 
• Nous estimons qu'il est très probable que bon nombre des attaques récentes contre les environnements SSO aient exploité les journaux des voleurs pour au moins une partie de l'attaque. 

Définition des logiciels malveillants Infostealer

En règle générale, les logiciels malveillants infostealer infectent les ordinateurs, extraient les informations d'identification, les données de remplissage automatique et les cookies de session actifs du navigateur, puis se terminent automatiquement, ne laissant que peu ou pas de trace de l'infection de l'appareil. Ces données sont ensuite regroupées dans un « journal des voleurs », qui est ensuite lui-même combiné avec des milliers d’autres journaux de voleurs dans des fichiers partagés sur les chaînes Telegram de cybercriminalité et sur le marché russe. Cela pose un risque considérablement accru pour les entreprises par rapport aux « informations d’identification traditionnelles divulguées » pour un certain nombre de raisons, notamment :

• Les journaux des voleurs contiennent souvent des cookies de session actifs permettant aux acteurs malveillants de contourner les contrôles 2FA et MFA. 
• Les journaux des voleurs contiennent des dizaines, voire des centaines d’informations d’identification, offrant ainsi un large « espace d’attaque » aux acteurs.
• Les fichiers journaux contiennent souvent des informations d'identification d'entreprise pour les applications SSO, les CRM, les environnements cloud et d'autres applications SaaS d'entreprise critiques.
• La plupart des logiciels malveillants voleurs se terminent automatiquement après une infection réussie, ce qui augmente la difficulté de détection et d'identification des appareils.

Les logiciels malveillants Infostealer infectent souvent les ordinateurs personnels qui ne contiennent pas de fichiers d'entreprise mais qui ont enregistré des informations d'identification dans les environnements cloud de l'entreprise, ce qui facilite la détection. encore plus dur.  De plus, les informations trouvées sur les ordinateurs personnels peuvent aider les acteurs malveillants à se faire passer pour l'utilisateur lors d'attaques futures, car de nombreux utilisateurs enregistrent des questions secrètes et d'autres données lorsque les formulaires sont remplis dans le navigateur. 

La plupart des acteurs de la menace ne sont pas des entités très sophistiquées cherchant à identifier les exploits 0-day, mais plutôt des cybercriminels de bas niveau à la recherche du retour sur investissement le plus élevé possible. La recherche de journaux d'infostealer avec des informations d'identification d'entreprise sur les canaux Telegram publics représente une méthode peu risquée et peu coûteuse pour accéder à une infrastructure informatique sensible.

Exemple d'un fichier journal de vol unique distribué sur Telegram, contenant une empreinte digitale du navigateur et des informations associées

Journaux de vol, applications d'authentification unique et dangers liés au remplissage de formulaires dans le navigateur

Les applications SSO sont devenues un pilier de la sécurité des informations dans les entreprises ces dernières années. Les applications d'authentification unique d'entreprise offrent des avantages considérables aux équipes de sécurité en centralisant l'authentification, en permettant à l'organisation d'imposer l'authentification multifacteur, en améliorant les initiatives de conformité et en créant une méthode centralisée de surveillance de l'accès aux applications.

Malheureusement, les applications SSO créent également un point de défaillance unique pour la sécurité d'une organisation. Pour ce projet, Flare a recherché cinq fournisseurs SSO d'entreprise courants parmi plus de 22 millions de journaux de vol et a identifié plus de 312,855 XNUMX domaines d'application SSO d'entreprise présents. Même si les cookies de session ont expiré, cela représente toujours un risque énorme. Nous pouvons décomposer le risque en trois parties :

• Les journaux des voleurs peuvent contenir des informations d'identification et des cookies de session actifs pour une application SSO, permettant à un acteur malveillant de se connecter directement.
• Même lorsque les cookies de session sont invalides ou expirés, les journaux de vol contiennent des « données de remplissage automatique de formulaires » fournissant aux acteurs les noms des employés, leurs adresses, les réponses aux questions de sécurité, les informations de carte de crédit et d'autres données qui pourraient être utilisées pour l'ingénierie sociale des codes 2FA et MFA. à court d'employés du service d'assistance
• Les journaux des voleurs contiennent d'énormes quantités d'informations personnelles sur les employés qui pourraient être utilisées comme levier, telles que des informations d'identification sur des sites Web de contenu pour adultes, des services bancaires, des réseaux sociaux, etc.

Lors de certaines attaques récentes contre des organisations utilisant des applications SSO, il semble que les auteurs de la menace disposait déjà des informations d'identification pour l'application SSO, ce qui rend les attaques d'ingénierie sociale considérablement plus faciles. Cela vaut la peine de s'arrêter un instant et d'explorer l'énorme opportunité d'ingénierie sociale que représente un journal de vol pour les acteurs de la menace. Pour les personnes qui enregistrent leurs identifiants et remplissent des formulaires dans leurs navigateurs, un journal de vol moyen peut fournir à un acteur malveillant :

• Leur nom, adresse, numéro de sécurité sociale et numéros de carte de crédit
• Réponses enregistrées à des questions secrètes telles que les noms de leurs animaux de compagnie, la rue dans laquelle ils ont grandi, leurs aliments préférés
• Tous les domaines pour lesquels les informations d'identification sont enregistrées ; cela peut permettre aux acteurs malveillants de vérifier des informations hautement personnelles telles que l'école que fréquentent leurs enfants, les compagnies aériennes que l'individu prend et d'autres informations hautement personnelles qui peuvent être déduites des informations d'identification enregistrées.
• Des dizaines, voire des centaines d'exemples de mots de passe utilisés par l'individu, permettant aux auteurs de menaces de déterminer des modèles dans les mots de passe des victimes.

Distribution des journaux Stealer, panneaux et écosystème Infostealer

Il existe tout un écosystème autour des logiciels malveillants voleurs, en grande partie sur les réseaux sociaux et l’application de messagerie Telegram. Les acteurs malveillants peuvent facilement acheter les logiciels malveillants et l’infrastructure RedLine via des applications Telegram automatisées utilisant la crypto-monnaie. Généralement, les licences sont vendues sur une base mensuelle ou à vie.

 Une fois que les acteurs malveillants achètent une licence, ils ont également accès à une infrastructure de commande et de contrôle dédiée qui peut être utilisée pour communiquer avec le panneau de malware et les appareils infectés. Les panneaux Infostealer sont particulièrement intéressants et montrent également à quel point les cybercriminels ont progressé dans la marchandisation des journaux. 

À droite se trouve un exemple du panneau du malware RedLine. La colonne de gauche indique la date de l'extraction des données. L'aspect le plus intéressant est la colonne la plus à droite, où il apparaît que le panneau analyse automatiquement les informations d'identification des journaux des voleurs pour informer l'acteur malveillant des informations d'identification spécifiques de grande valeur qui peuvent être exploitées à des fins financières. 

 Exemple du panneau Redline 

Une fois les journaux triés, ils sont généralement répartis sur trois sources principales. De nombreux journaux de voleurs sont publiés directement sur les chaînes publiques Telegram où ils peuvent être facilement trouvés par tout utilisateur de Telegram. Les journaux de voleurs publiés directement sur les chaînes publiques Telegram servent généralement de « publicités » pour les chaînes « privées » (lues payantes) des acteurs de la menace.

Publicité du journal des voleurs sur Telegram

Les canaux de journaux de vol privés sont uniquement sur invitation et sont généralement monétisés sur une base mensuelle. En règle générale, les administrateurs de chaîne limitent le nombre d'utilisateurs dans une chaîne privée à 10-20 et promettent un nombre défini de journaux « frais » qui seront publiés sur la chaîne sur une base hebdomadaire.

Panneau de malware Raccoon (notez qu'ils ont même des fonctionnalités « bêta »)

Dans l'analyse précédente de Flare, nous avons constaté que les journaux contenant les informations d'identification de l'entreprise étaient publiés de manière disproportionnée sur des canaux Telegram privés, ce qui indique que les acteurs peuvent intentionnellement canaliser les journaux de plus grande valeur directement vers des canaux privés. 

Nous avons également trouvé de nombreuses preuves d'acteurs de la menace du Dark Web, connus sous le nom de courtiers d'accès initial (IAB), achetant des journaux en masse, susceptibles d'utiliser l'accès fourni pour compromettre les environnements informatiques de l'entreprise. Nous estimons qu'il est très probable que les IAB et les groupes de ransomwares utilisent directement les journaux avec un accès d'entreprise pour obtenir un accès privilégié à l'infrastructure informatique des environnements d'entreprise. 

Réflexions finales

Les journaux des voleurs représentent bien plus que de simples informations d’identification et cookies de session pour les utilisateurs individuels. De nombreux journaux de voleurs contiennent toutes les informations nécessaires pour lancer des attaques d’ingénierie sociale incroyablement sophistiquées et détaillées. Les individus vivent leur vie en ligne et enregistrent par conséquent d’énormes quantités d’informations personnelles dans leurs navigateurs, ce qui peut constituer une incroyable opportunité pour les acteurs malveillants à la recherche de moyens simples d’accéder aux environnements informatiques de l’entreprise.

Les organisations se concentrent généralement sur le renforcement de leurs mesures de sécurité internes, mais l'utilisation croissante des applications SSO concentre les risques sur quelques points de défaillance uniques, ce qui peut représenter une menace existentielle pour l'environnement informatique de l'entreprise. Tirer parti de la surveillance externe pour identifier les informations d'identification de l'entreprise dans les journaux des voleurs va être de plus en plus nécessaire pour tout type de posture de sécurité efficace.