Publié le par Franck F.

Les professionnels de la cybersécurité tirent la sonnette d'alarme face à la menace croissante des attaques de logiciels malveillants de type Stealerium

Les équipes de cybersécurité du monde entier lancent des alertes urgentes après que des groupes de recherche ont observé une forte augmentation du déploiement de Stealerium, un voleur d'informations moderne qui exfiltre des informations d'identification, des portefeuilles de crypto-monnaie et des configurations de système par le biais de multiples canaux publics. La souche a été commercialisée sous la forme d'outils éducatifs, tout en étant activement exploitée par des groupes financièrement motivés. La télémétrie de Proofpoint et des analystes indépendants ont documenté des pics concentrés dans le volume de la campagne entre mai et août, reliant l'activité à des groupes suivis qui s'appuyaient auparavant sur des ensembles d'outils alternatifs tels que Snake Keylogger.

Il est conseillé aux entreprises de considérer l'activité de Stealerium comme un problème opérationnel à haut risque en raison de ses techniques d'évasion persistantes, notamment la manipulation des exclusions PowerShell, la persistance des tâches planifiées et l'exécution d'un navigateur sans tête pour la collecte de données à grande échelle. Les équipes de sécurité devraient mettre à jour les playbooks de détection et coordonner les flux de menaces des fournisseurs de l'industrie.

Aperçu du logiciel malveillant Stealerium et paysage mondial des menaces

Stealerium se présente comme un voleur d'informations polyvalent capable d'extraire un large éventail d'artefacts des hôtes compromis. Son ensemble de fonctionnalités comprend le vol de données d'identification du navigateur, l'exportation de portefeuilles de crypto-monnaies, les profils Wi-Fi sauvegardés via netsh wlan énumération, collecte de la configuration VPN et capture conditionnelle d'écran/webcam liée à la détection de contenu adulte dans les onglets du navigateur.

Stealerium est souvent distribué à l'intérieur d'exécutables compressés et d'images disque (ISO/IMG), ou de wrappers de scripts tels que JavaScript et VBScript. Les attaquants orchestrent la livraison via des canaux de phishing faisant référence à des indices financiers ou juridiques urgents, et utilisent des plateformes tierces telles que Discord, Telegram, SMTP, GoFile et Zulip pour l'exfiltration.

Capacités clés et télémétrie

Le tableau suivant résume les principales capacités, les vecteurs de diffusion et les comportements post-infection courants observés par les chercheurs et corroborés par les données télémétriques des fournisseurs.

Capacité Vecteurs d'administration observés Indicateurs post-infection
Vol d'identifiants Phishing avec JS/VBScript, pièces jointes ISO, EXE compressés Instances Chrome sans tête, POSTs sortants anormaux vers l'hébergement de fichiers
Exportation de portefeuilles de crypto-monnaie L'ingénierie sociale est un leurre qui fait référence à des dons ou à des paiements Recherche de fichiers de portefeuille, exfiltration vers des liens Discord/Telegram
Énumération des réseaux Wi-Fi et VPN Exécutables compressés avec persistance des tâches planifiées Exécution de netsh wlanprofils XML exportés
Artéfacts de sextorsion Leurres pour adultes ; détection opportuniste de la navigation Captures d'écran, captures de webcam, collecte de fichiers conditionnels
Persistance / Evasion PowerShell pour définir les exclusions et les tâches planifiées de Windows Defender Nouvelles tâches planifiées, entrées d'exclusion Defender, injection de processus

Les données télémétriques fournies par les fournisseurs commerciaux et les recherches ouvertes indiquent que la souche est utilisée à la fois dans des campagnes de pulvérisation à grande échelle et dans des intrusions ciblées. Les fournisseurs, dont CrowdStrike, Palo Alto Networks, FireEye, Symantec, McAfee, Trend Micro, Kaspersky, Point de contrôle, Fortinet, et Sophos ont publié des détections ou ajouté des indicateurs liés aux familles Stealerium.

Proofpoint a notamment observé que deux groupes d'acteurs suivis se sont réorientés vers Stealerium après avoir favorisé d'autres kits de vol d'informations d'identification tels que Snake Keylogger. Cette substitution illustre une tendance plus large : les acteurs de la menace adoptent rapidement des voleurs modulaires, disponibles dans le commerce, pour étendre leurs opérations.

  • Thèmes courants de l'ingénierie sociale : Avis de paiement, convocations au tribunal, réservations de voyage, appels d'offres pour des œuvres de bienfaisance et crochets pour contenu adulte.
  • Types de fichiers fréquemment utilisés : JS, VBS, ISO, IMG, EXEs compressés.
  • Principaux canaux d'exfiltration : SMTP, Discord, Telegram, GoFile, Zulip, URL publiques.

Pour les responsables de la sécurité, ce paysage exige une réévaluation des règles de la passerelle de courrier électronique, des politiques de traitement des pièces jointes et du filtrage de sortie. L'évolution de la préférence des adversaires pour les plateformes de collaboration publiques accroît la nécessité d'adapter la prévention de la perte de données et la corrélation des informations de sécurité pour les services C2 et d'exfiltration non standard. Aperçu : Traiter les indicateurs Stealerium comme un problème d'hygiène en matière d'hameçonnage et comme un problème d'application des mesures de protection du réseau.

LIRE  Protégez-vous des cybermenaces : évitez ces 5 erreurs courantes en matière de cybersécurité

Comment fonctionne le Stealerium : Techniques de livraison, d'exécution et d'exfiltration

Pour comprendre Stealerium, il faut analyser trois phases opérationnelles : livraison, exécution/persistance et exfiltration de données. Chaque phase utilise des outils standard de manière non standard pour échapper à la détection.

Lors de la livraison, les adversaires s'appuient fortement sur l'ingénierie sociale. Les leurres imitent l'urgence transactionnelle - des sujets tels que Paiement dû, Convocation de la Courou une demande de devis émanant d'une organisation caritative - incitent les destinataires à exécuter les pièces jointes. Ces pièces jointes sont généralement compressées ou emballées afin d'éviter une simple analyse du contenu.

Mécanismes d'exécution et de persistance

Lors de l'exécution, Stealerium effectue une reconnaissance systématique des artefacts locaux. Il énumère les profils Wi-Fi enregistrés en utilisant netsh wlanIl interroge les dossiers de profil des navigateurs et localise les portefeuilles de crypto-monnaies en recherchant les noms de fichiers connus et les structures de stockage locales.

Pour garantir la persistance et réduire le risque de détection, les opérateurs utilisent des tâches planifiées et des commandes PowerShell pour modifier les exclusions de Windows Defender. Cette séquence se présente généralement comme suit :

  1. Exécution d'un chargeur compressé (JS/VBS/EXE) qui décompresse le binaire principal.
  2. Utilisation de PowerShell pour ajouter des signatures ou des répertoires aux listes d'exclusion de Windows Defender.
  3. Création de tâches planifiées qui relancent les composants au démarrage ou selon un calendrier.

Les opérateurs déploient également des instances Chrome sans tête afin d'extraire et d'exfiltrer de manière programmatique les données du navigateur sans interface utilisateur visible, ce qui complique la visibilité des points d'extrémité et augmente le volume d'éléments récoltés.

Canaux d'exfiltration des données et stratégies de persistance

Stealerium exploite de nombreux services publics pour supprimer des données. Les chercheurs ont documenté l'exfiltration vers des points d'extrémité Discord et Telegram, des relais SMTP et des plateformes publiques d'hébergement de fichiers telles que GoFile. L'utilisation de ces services permet de mieux se fondre dans le trafic légitime et d'entraver l'attribution des données.

  • SMTP : Pièces jointes cryptées transmises via des comptes SMTP compromis ou inutilisables.
  • Plateformes de messagerie : Discord/Telegram avec des charges utiles codées ou des liens courts.
  • Hôtes de fichiers publics : Liens de téléchargement temporaires utilisés comme C2 ou comme étape pour l'exfiltration de masse.

Les défenseurs opérationnels doivent également s'attendre à une logique conditionnelle dans les logiciels malveillants destinés à la sextorsion. Lorsque du contenu pour adultes est détecté dans des onglets de navigateur actifs, Stealerium peut effectuer une capture d'écran et déclencher la capture de la webcam pour créer des actifs susceptibles d'être extorqués. Cette capture conditionnelle est un vecteur d'escalade plus souvent lié à la criminalité financière qu'à l'espionnage.

Technique Exemple de requête de détection
netsh wlan enumeration Création du processus cmd.exe/powershell.exe avec les arguments 'netsh wlan show profile'.
Exclusion de PowerShell Defender PowerShell Add-MpPreference -ExclusionPath ou Add-MpPreference -ExclusionProcess
Chrome sans tête Chrome ou processus headless lancé avec les options -headless ou -disable-gpu

Les équipes de sécurité devraient mettre en place un système de journalisation spécifique pour capturer ces comportements et ajuster les règles de détection. La télémétrie des terminaux alimentant le SIEM ou l'EDR devrait être configurée pour alerter sur les événements en chaîne : décompression de la compression, changements d'exclusion PowerShell, création de tâches planifiées et trafic sortant vers des hôtes de fichiers non professionnels dans le nuage. Des fournisseurs tels que CrowdStrike et Microsoft Defender (en partenariat avec d'autres fournisseurs tels que Palo Alto Networks et Fortinet) peut enrichir ces alertes avec des informations contextuelles sur les menaces.

  • Détections immédiates recommandées : lignage de la commande netsh wlan, événements de création de tâches planifiées, activités Add-MpPreference, drapeaux des navigateurs sans tête.
  • Sources de télémétrie recommandées : Arbres de processus EDR, journaux PowerShell, journaux de sortie de pare-feu, schémas d'accès à des hôtes de fichiers en nuage.

Exemple : une entreprise de logistique de taille moyenne, appelée ici Orion LogisticsL'analyse des données de la base de données a permis de détecter des tâches de programmation inhabituelles, effectuées peu de temps après qu'un utilisateur a ouvert une pièce jointe compressée de type "facture". Le recoupement des journaux du pare-feu a révélé des POST sortants vers un lien GoFile. Un confinement rapide a permis d'éviter le vol d'informations d'identification, mais l'incident a révélé des lacunes dans le traitement des pièces jointes et dans la politique de sortie. Aperçu : La visibilité à tous les stades permet de gagner des courses à la détection - couvrir la livraison, l'exécution et la sortie en parallèle.

LIRE  startups prometteuses en cybersécurité que les investisseurs en capital-risque surveillent

Études de cas : TA2715, TA2536 Campagnes et impact dans le monde réel

Proofpoint et des chercheurs associés ont associé des groupes distincts à l'utilisation récente de Stealerium, notamment l'activité attribuée à des groupes portant le nom de TA2715 et TA2536. Ces acteurs utilisaient auparavant des outils différents, ce qui rend cette migration remarquable pour les défenseurs qui suivent l'évolution des TTP des adversaires.

La campagne de TA2715 a usurpé l'identité d'une organisation caritative canadienne avec un leurre de type "demande de devis", livrant un exécutable compressé qui décompactait Stealerium. La campagne mettait l'accent sur la preuve sociale et la légitimité, en s'appuyant sur le nom et le formatage de l'organisation caritative pour atténuer la méfiance des utilisateurs.

Modèles de campagne et conséquences pour les entreprises

Les campagnes des deux groupes ont des thèmes communs : urgence dans les lignes d'objet, pièces jointes compressées ou sous forme d'images de disque, et sortie ultérieure vers des hôtes de fichiers publics. Le schéma opérationnel privilégiait une récolte rapide suivie d'une exfiltration rapide vers des destinations éphémères, ce qui compliquait la collecte de données judiciaires et les mesures correctives.

  • TA2715 : Usurpation d'identité, pièces jointes ISO, utilisation de GoFile pour l'exfiltration.
  • TA2536 : Leurres de voyage/de mariage, charges utiles JS compressées, Discord pour C2.
  • Risques collatéraux : Tentatives de sextorsion lorsque des contenus pour adultes ont été détectés, et déplacements latéraux à l'aide de profils VPN et Wi-Fi collectés.

Un incident notable survenu dans une hypothétique fintech, "Atlas Payments", a montré comment des identifiants VPN volés permettaient un accès à distance non autorisé. Les attaquants ont utilisé des profils VPN récoltés pour se connecter à partir d'un hôte distant, en contournant les lacunes de l'AMF dans les implémentations VPN existantes. Alors que le MFA aurait permis d'atténuer la menace, la présence de configurations VPN exportées a rendu le rejeu d'identifiants beaucoup plus facile.

Les flux des fournisseurs de l'industrie ont joué un rôle crucial dans ces détections. FireEye et Trend Micro a fourni des signatures comportementales pour les routines de déballage, tandis que les vendeurs de réseaux tels que Point de contrôle et Fortinet a signalé les destinations de sortie suspectes. Les fournisseurs de terminaux (McAfee, Symantec, Kaspersky, Sophos) a mis à jour l'heuristique pour identifier les modèles d'exclusion des navigateurs sans tête et de PowerShell.

Cas Leurre primaire Résultat
TA2715 - Appel d'offres pour une association caritative Demande de devis avec pièce jointe ISO Informations d'identification recueillies ; exfiltration de GoFile observée ; accès latéral limité par le confinement
TA2536 - Voyage/Mariage Confirmation de réservation avec JS dropper Portefeuilles de navigateurs exfiltrés ; tentative de sextorsion dans un petit sous-ensemble

Ces études de cas soulignent la nature hybride de la cybercriminalité moderne où les logiciels malveillants, les plates-formes de messagerie ouvertes et l'ingénierie sociale sur mesure s'allient pour former des chaînes de monétisation efficaces. Les organisations qui ne disposaient pas de contrôles de sortie robustes ou d'une télémétrie complète des terminaux ont été touchées de manière disproportionnée.

Les comptes rendus d'incidents mettent en évidence trois mesures d'atténuation récurrentes qui réduisent l'impact opérationnel : l'isolation rapide du réseau en cas de détection d'une sortie suspecte, la rotation des informations d'identification pour les services exposés et la préservation des preuves. Ces étapes permettent aux équipes de quantifier l'exposition et de hiérarchiser les mesures de récupération. Aperçu : L'attribution importe moins que le confinement et l'hygiène des informations d'identification lorsque l'on est confronté à des voleurs de grande envergure.

Stratégies de détection, de chasse et d'atténuation pour les équipes de sécurité

Les défenses efficaces contre le Stealerium combinent la prévention, la détection et une réponse rapide. La prévention réduit la surface d'attaque, la détection détecte les activités qui contournent la prévention, et la réponse contient et inverse les dommages.

Les contrôles de prévention comprennent des passerelles de messagerie renforcées, la mise en bac à sable des pièces jointes et des politiques strictes en matière de pièces jointes pour les expéditeurs externes. Le filtrage des sorties et les contrôles de proxy pour bloquer ou surveiller l'accès aux hôtes de fichiers publics réduisent considérablement les voies d'exfiltration.

Manuel pratique de chasse

La chasse devrait cibler les comportements en chaîne plutôt que des indicateurs uniques. Construire des règles de détection qui mettent en corrélation les activités de déballage, la modification des exclusions PowerShell, la création de tâches planifiées et les POST sortants vers des hôtes non professionnels. Utiliser les arbres de processus EDR pour cartographier l'enchaînement et identifier les mouvements latéraux potentiels.

  • Questions sur la chasse : Détection de séquence pour les pièces jointes compressées exécutant JS/VBS → PowerShell Add-MpPreference → netsh wlan usage.
  • Signaux de réseau : POSTs HTTP/HTTPS inhabituels vers discordapp, t.me, gofile.io, zulip, ou des URL présignées S3 inconnues.
  • Les étapes de la réponse : Réinitialisation des informations d'identification, isolation des appareils et recherche d'autres terminaux compromis.
LIRE  Transformer l'humanité : Le documentaire révolutionnaire de Len Noe "I Am Machine" est présenté à Hacker Halted, qui explore les frontières de la cybersécurité.

Les fournisseurs peuvent accélérer la détection. CrowdStrike et Sophos fournissent une visibilité EDR pour le suivi des processus, tandis que les fournisseurs de réseaux, tels que Palo Alto Networks et Fortinet ajoutent un contexte aux flux de sortie. L'intégration de ces flux dans les flux de travail SOAR centralisés permet un confinement automatisé tel que la mise en quarantaine de l'hôte ou le blocage temporaire des sorties.

Les politiques organisationnelles doivent également imposer une rotation rapide des informations d'identification pour tout utilisateur dont il est confirmé qu'il a manipulé une pièce jointe malveillante. Cela inclut les mots de passe des VPN, des consoles en nuage et des webmails. Dans la mesure du possible, il convient de mettre en œuvre un système de gestion des habilitations matérielles afin de neutraliser la relecture des fichiers de configuration exportés.

  • Contrôles techniques immédiats : Bloquer l'accès aux hôtes publics connus pour l'exfiltration, mettre en place un bac à sable pour les pièces jointes et restreindre l'exécution des interpréteurs de scripts à partir des répertoires de courrier.
  • À plus long terme : Mettre en œuvre un accès au réseau de confiance zéro, une microsegmentation et des listes d'autorisation de sortie strictes.

Les exercices réguliers de l'équipe rouge devraient simuler des leurres de type Stealerium pour tester la détection et la réaction. Utiliser des scénarios incluant des tentatives d'extorsion par sextorsion pour évaluer la coordination entre les équipes juridiques, les ressources humaines et la sécurité. Coordination avec les fournisseurs - y compris le partage d'indicateurs avec FireEye, Trend Micro, et Kaspersky - renforce les défenses de la communauté et enrichit les modèles de détection. Aperçu : La détection est moins une question de règles parfaites que de télémétrie résiliente et stratifiée qui permet de prendre des décisions rapides.

Réponses opérationnelles et organisationnelles : Politique, formation et manuels d'incidents

La défense à grande échelle nécessite un alignement organisationnel : les contrôles techniques doivent être soutenus par une politique, une formation et des plans d'intervention répétés. Cette section décrit la gouvernance, les facteurs humains et les éléments essentiels des plans d'action pour atténuer les menaces de type Stealerium.

L'organisation fictive Orion Logistics a utilisé la structure suivante pour renforcer son dispositif de sécurité après une simulation de Stealerium : changements de politique, renforcement technique, formation du personnel et exercices sur table impliquant des équipes juridiques et de communication. Cette approche pluridisciplinaire a permis de réduire le temps moyen de confinement lors des tests suivants.

Mesures politiques et de gouvernance

Les mises à jour des politiques devraient restreindre l'exécution des scripts à partir des dossiers de téléchargement du courrier et exiger que les pièces jointes passent par un bac à sable. Les politiques d'exfiltration de données doivent inclure des listes d'autorisation de sortie précises et des voies d'escalade définies en cas de détection de transferts sortants importants.

  • Politique de rattachement : Bloquer ou mettre en bac à sable les pièces jointes ISO/IMG et exécutables provenant d'expéditeurs externes.
  • Hygiène des diplômes : Rotation périodique obligatoire et révocation immédiate en cas de suspicion de compromission.
  • MFA et contrôle d'accès : Appliquer le MFA matériel et le principe du moindre privilège pour l'accès au VPN et à l'informatique en nuage.

La formation est essentielle. La sensibilisation au phishing doit aller au-delà des exercices clichés et inclure des scénarios réalistes qui reflètent les leurres observés : fausses factures, confirmations de réservation et sollicitations caritatives. Une formation basée sur les rôles pour les finances et les ressources humaines est essentielle, car ces équipes sont les principales cibles des escroqueries en matière de paiement et de droit.

Incident playbook essentials

Les guides doivent inclure des étapes techniques, des modèles de communication, des considérations juridiques et des actions de récupération. Les éléments spécifiques comprennent l'isolation immédiate de l'hôte, la révocation des identifiants, la collecte d'images médico-légales et la notification aux tiers concernés si des données financières ont été exposées.

  • Liste de contrôle du confinement : Mettre en quarantaine les terminaux affectés, révoquer les sessions actives et désactiver les comptes exposés.
  • Liste de contrôle médico-légale : Capturez les arbres EDR, les captures de réseau et la liste des destinations impliquées dans l'exfiltration.
  • Liste de contrôle pour la communication : Déclarations pré-approuvées pour les parties prenantes internes et notifications réglementaires si nécessaire.

Coordination avec les fournisseurs externes : vitesse de remédiation. Le partenariat avec des fournisseurs de solutions de gestion des incidents et de sécurité du réseau, tels que CrowdStrike, Palo Alto Networks, Point de contrôle, et Fortinet-peut accélérer la mise en correspondance des indicateurs et aider à identifier les activités latéralisées dans l'ensemble du domaine. Le partage d'indicateurs assainis avec des groupes communautaires et des fournisseurs tels que FireEye et Trend Micro augmente la visibilité collective.

Enfin, les réunions d'information au niveau du conseil d'administration doivent présenter le risque en termes commerciaux : perte potentielle due au vol d'informations d'identification, coûts de remédiation, impact sur la réputation en cas de sextorsion et amendes réglementaires en cas d'exposition des données des clients. Ces mesures permettent d'investir dans des défenses à plusieurs niveaux et dans des programmes de résilience.

  • Mesures prises par le conseil d'administration : Temps de détection, temps de confinement, nombre d'informations d'identification exposées et estimation des coûts de récupération.
  • Investissements dans la résilience : EDR, sandboxing de courrier électronique, filtrage de sortie et budgets de formation des employés.

L'instauration d'une boucle d'amélioration continue - tester, mesurer, mettre à jour - permet de maintenir les défenses alignées sur les changements de l'adversaire. Face à l'évolution de Stealerium et des autres voleurs de marchandises, les organisations qui associent des contrôles techniques à une rigueur opérationnelle et à une collaboration avec les fournisseurs réduiront les risques et raccourciront les délais de récupération. Aperçu : La sécurité n'est pas seulement technique, elle est aussi organisationnelle ; la politique, le comportement humain et la collaboration rapide des fournisseurs déterminent les résultats des campagnes de logiciels malveillants qui évoluent rapidement.