Qu’Est-Ce Qu’Infostealers ?

Un infostealer est un logiciel malveillant (malware) qui tente de voler vos informations. Les logiciels malveillants plus complexes tels que les chevaux de Troie bancaires (par exemple TrickBot) et les stalkerware incluent généralement des composants infostealer.

Dans la plupart des cas, cela signifie voler des informations qui peuvent rapporter de l’argent aux cybercriminels.

Voici quelques choses que les criminels peuvent voler et transformer en argent:

  • les informations de votre carte bancaire peuvent être utilisées directement ou revendues à d’autres qui effectuent des achats avec votre carte,
  • vos identifiants de compte peuvent ensuite être utilisés pour voler vos achats passés (par exemple vos achats en jeu Fortnite ou Animal Crossing) qui peuvent être revendus,
  • vos identifiants de compte peuvent acheter de nouvelles choses si vous avez enregistré votre carte bancaire,
  • vos identifiants de compte peuvent acheter de nouvelles choses si vous avez enregistré votre carte bancaire,
  • vos identifiants de compte peuvent être vendus eux-mêmes:
    • les comptes sont souvent vendus en masse à d’autres spécialistes de la cybercriminalité pour qu’ils tentent de monétiser,
    • certains comptes ont une valeur individuelle, par exemple des comptes Instagram ou Snapchat avec des poignées recherchées
  • potentiellement, des photos et des documents peuvent être utilisés à des fins de chantage ou monétisés d’autres manières:
    • les entreprises touchées par les ransomwares sont de plus en plus confrontées à la perspective de voir leurs données internes et leur propriété intellectuelle publiées en ligne si elles ne paient pas
    • en 2014, un grand nombre de femmes célèbres ont fait voler et publier des photos extrêmement privées sur leurs comptes iCloud, ce qui a considérablement profité à certains propriétaires de sites de messagerie et de sites pornographiques contraires à l’éthique.

Les criminels sont créatifs et c’est grand, professionnel, commercial.

Exemple de cheval de Troie bancaire

 Exemple de cheval de Troie bancaire Android avec captures d'écran étape par étape

Exemple de cheval de Troie bancaire Android avec captures d’écran étape par étape

Les attaques Infostealer peuvent être vraiment diaboliques.

Prenons par exemple le fonctionnement d’un cheval de Troie bancaire Android que nous avons vu se répandre en 2017.

L’utilisateur reçoit un SMS avec un lien pour télécharger une application avec des vidéos amusantes. Lors de l’installation, il leur est demandé d’accepter les autorisations pour l’application. L’utilisateur le fait sans doute sans vérifier, car de toute façon personne ne comprend toutes ces autorisations.

L’application contient quelques vraies “vidéos amusantes”.

Pourtant, son vrai travail est d’attendre que vous ouvriez votre application bancaire. Quand il vous voit faire cela, il regarde dans sa bibliothèque d’applications bancaires et utilise l’autorisation que vous lui avez donnée de dessiner en haut de l’écran de connexion de votre application bancaire avec une fausse copie exacte de l’écran de connexion.

Vous entrez vos informations de connexion et il vole votre nom d’utilisateur et votre mot de passe. En même temps, il vous connecte à la vraie application qui est cachée derrière le faux écran de connexion identique, de sorte que tout vous semble normal.

Maintenant, le cheval de Troie attend que vous finissiez avec votre banque. Il se connecte ensuite à nouveau à votre banque sans votre aide et essaie de transférer votre argent.

Lorsque cela se produit, la banque vous envoie un code SMS pour confirmer le paiement – l’application capture le code en utilisant une autre autorisation que vous lui avez donnée au moment de l’installation, et supprime même le message SMS pour que vous ne sachiez rien de ce qui s’est passé.

Diabolique!

Pas seulement pour l’argent

Bien que l’argent soit de loin la raison la plus courante des attaques d’infostealer, ce n’est pas la seule raison.

Comme avec iCloud et de nombreux cas similaires, les informations sur les personnes les plus vulnérables de nos sociétés (femmes, enfants, personnes LGBTQIA +, personnes de couleur et autres) sont spécifiquement ciblées par ceux qui cherchent à exploiter ces personnes ou à leur causer de la violence.

Nous savons qu’il existe des entreprises “légales” éhontées qui vendent du matériel de harcèlement, le commercialisant spécifiquement aux agresseurs domestiques, aux parents abusifs et aux harceleurs pour pouvoir espionner et contrôler leurs cibles. C’est pourquoi F-Secure fait partie de la Coalition à l’échelle de l’industrie contre le Stalkerware. Les Stalkerware sont généralement des chevaux de Troie cachés, qui incluent une partie importante de la technologie infostealer – voler les photos d’une cible, l’historique des appels, l’historique des discussions, l’historique des emplacements, etc.

Les informateurs sont également utilisés dans le cadre de la cyberintimidation, où l’accès aux comptes d’une cible peut être utilisé pour publier du contenu embarrassant, pour supprimer des amis, supprimer des accès ou dans le cadre d’une campagne globale de mise au gaz.

Des attaques plus ciblées utilisant des informateurs sont perpétrées par des gouvernements contre des militants, des journalistes et des politiciens de l’opposition, encore une fois avec l’aide d’entreprises “légales” éhontées qui vendent ce logiciel malveillant en sachant comment il sera utilisé.

Le tristement célèbre meurtre du journaliste Jamal Khashoggi en 2018, par exemple, est soupçonné d’avoir impliqué des technologies d’infostealer utilisées contre ses collègues, conduisant au meurtre d’une de ses sources, et ayant potentiellement été utilisées pour connaître son emploi du temps à l’avance afin de planifier son meurtre.

Plus loin au début de 2020, nous avons appris que des logiciels similaires étaient utilisés contre la personne la plus riche du monde, Jeff Bezos, probablement en raison de rapports du journal Washington Post dont il est propriétaire.

Quelle Est La Fréquence Des Agents D’Information?

Selon les données de F-Secure qui viennent d’être publiées dans notre rapport sur le paysage des attaques du 1er semestre 2020, les infostealers dominent désormais les 20 principales menaces de logiciels malveillants auxquelles les utilisateurs sont confrontés.

Si vous incluez des chevaux de Troie et des RATs (Chevaux de Troie à accès distant) qui contiennent également des éléments infostealer, les logiciels malveillants qui volent vos informations constituent 18 des 20 principales menaces contre lesquelles F-Secure a dû protéger nos utilisateurs.

 Top 20 des menaces vues par F-Secure au 1er semestre 2020

Top 20 des menaces vues par F-Secure au 1er semestre 2020

Les Infostealers dominent également le spam que nos utilisateurs reçoivent, avec 75% des pièces jointes sur le thème des coronavirus que nous avons vues distribuer Lokibot ou Formbook, des infostealers qui ont été trouvés livrés dans 38% et 37% des pièces jointes COVID respectivement.

 Exemple d'un e-mail de spam réel, prétendant provenir d'une grande banque, utilisé pour distribuer le Lokibot infostealer / cheval de Troie.

Exemple d’un e-mail de spam réel, prétendant provenir d’une grande banque, utilisé pour distribuer le Lokibot infostealer / cheval de Troie.

Au cours du dernier mois en Finlande, 131 utilisateurs sur 10K ont eu une tentative d’infection par infostealer ou un cheval de Troie bloquée par notre logiciel – 64% de toutes les menaces rencontrées.

 Top 10 des menaces détectées par le logiciel F-Secure End-Point Protection en Finlande au cours du Dernier Mois (2020-Sep)

Top 10 des menaces détectées par le logiciel F-Secure End-Point Protection en Finlande au cours du Dernier Mois (2020-Sep)

 Menaces détectées par le logiciel de Protection des points de terminaison F-Secure en Finlande au cours du dernier Mois (2020-Sep) divisé par type de menace

Menaces détectées par le logiciel de Protection des Points de terminaison F-Secure en Finlande au cours du Dernier Mois (2020-Sep) divisé par type de menace

Pour la Suède, 149 utilisateurs sur 10 000 avaient tentative d’infection infostealer ou Trojan bloquée par notre logiciel, soit 47% de toutes les menaces rencontrées.

 Top 10 des menaces détectées par le logiciel F-Secure End-Point Protection en Suède au cours du Dernier Mois (2020-Sep)

Top 10 des menaces détectées par le logiciel F-Secure End-Point Protection en Suède au cours du Dernier Mois (2020-Sep)

 Menaces détectées par le logiciel de Protection des points de terminaison F-Secure en Suède au cours du Dernier Mois (2020-Sep) divisé par type de menace

Menaces détectées par le logiciel de Protection des Points de terminaison F-Secure en Suède au cours du Dernier Mois (2020-Sep) divisé par type de menace

Comment Les Informaticiens M’obtiennent-ils ?

La grande majorité de toutes les infections par des logiciels malveillants, y compris infostealers, provient d’e-mails de spam.

L’infection se fait soit par une pièce jointe à l’e-mail, soit par un site Web malveillant lié à l’e-mail.

Pour les sites Web, ces dernières années, la plupart des infections proviennent de vous inciter à télécharger et à installer manuellement des logiciels à partir du site. Nous voyons encore une minorité de cas où l’infection directe se produit sans votre aide via des “kits d’exploitation”.

Les mêmes techniques que celles utilisées par les spams pour inciter les gens à installer et à cliquer sont également utilisées par SMS, Whatsapp, Facebook Messenger et même par appels téléphoniques.

Encore une fois, les criminels sont créatifs et persistants. Ils n’ont besoin que de quelques personnes pour cliquer pour rentabiliser toute leur campagne.

Dans la plupart des cas, vous n’êtes pas spécifiquement la cible – les criminels envoient plutôt leur appât à des milliers ou des millions de personnes et attendent que quelques personnes cliquent et fassent la journée du criminel.

Il y a quelques façons courantes que les criminels (et les annonceurs!) utilisez pour essayer de nous faire éteindre notre cerveau et cliquez simplement.

Ce sont des choses qui devraient vous faire faire une pause et marcher prudemment lorsque vous les voyez:

  • ” Gratuit” – juste ce mot est suffisant dans de nombreux cas pour obtenir une vente. Acheteur méfiez-vous!
  • De même, tout ce qui est “trop beau pour être vrai– – venez-vous vraiment de gagner un voyage tous frais payés autour du monde? Avez-vous vraiment reçu une liste de tous les salaires de vos patrons par erreur? Probablement pas.
  • Urgence – “dépêchez-vous, il ne reste plus que cinq minutes” – si quelqu’un essaie de vous faire accélérer, c’est un très bon moment pour ralentir et regarder attentivement.
  • Connaissances d’initiés – ils connaissent votre anniversaire, le nom de votre patron et l’endroit où vous êtes allé à l’école, cela doit être réel. Sauf que toutes ces informations sont facilement disponibles en ligne. Ne leur donnez pas d’informations supplémentaires avant d’être sûr qu’ils sont ce qu’ils disent être.
  • Autorité – que ce soit le FBI qui vous “attrape” en train de faire quelque chose de méchant sur votre ordinateur, ou votre patron qui vous dit de vous dépêcher et de transférer un million de dollars pour un accord super secret, rappelez-vous qu’il est très facile de faire semblant d’être quelqu’un d’autre par e-mail, SMS ou autres applications.

Dans tous ces cas, pensez à rechercher le numéro de téléphone réel ou l’adresse e-mail de cette personne ou organisation dans le répertoire interne de votre entreprise ou sur le site officiel de votre gouvernement / banque et à rappeler pour vérifier avant de prendre une mesure.

Voici quelques autres exemples d’astuces utilisées dans le spam récent lié au coronavirus.

Comment Puis-Je Rester En Sécurité?

Le principal moyen de vous protéger contre les agents d’information est d’installer un bon logiciel anti-malware sur vos appareils. Un logiciel anti-malware vous protège de trois manières principales.

La première méthode consiste à arrêter directement le logiciel infostealer qui tente de s’installer ou de s’exécuter sur votre appareil. Il peut arrêter un infostealer à la fois en reconnaissant directement le mauvais logiciel (appelées “signatures”) et en reconnaissant son comportement (détection dite “next-gen”).

La deuxième façon consiste à vous empêcher de visiter les sites Web malveillants qui sont à l’origine de beaucoup de ces infections – en d’autres termes, “protection de la navigation”.

Et la troisième voie est spécifique aux services bancaires et aux achats en ligne où un bon logiciel anti-malware activera des protections supplémentaires lorsque vous vous connecterez au site Web de votre banque afin de vous confirmer qu’il ne s’agit pas d’un faux, et aussi pour empêcher d’autres applications et onglets de navigateur de faire quoi que ce soit pour interférer avec votre connexion.

Bien sûr, rien ne vous donnera jamais une protection à 100%, et toutes les attaques sur vos comptes et vos informations ne proviennent pas de logiciels malveillants.

Pour cette raison, l’une des meilleures choses que la plupart des gens peuvent faire pour améliorer leur sécurité est de commencer à utiliser un gestionnaire de mots de passe.

Un gestionnaire de mots de passe vous permet de ne pas vous inquiéter même lorsque vos données pour un service sont exposées, car votre mot de passe est à la fois difficile à déchiffrer, et même lorsqu’il est fissuré, il ne donnera aux criminels accès qu’à un seul compte, pas à tous vos comptes.

Non seulement cela, un gestionnaire de mots de passe est probablement plus facile que ce que vous faites avec vos mots de passe aujourd’hui, grâce au remplissage automatique facile sur tous vos appareils, et sans avoir à utiliser “mot de passe oublié”.

 Gardez Votre calme Et Utilisez Un autocollant Pour ordinateur portable Password Manager

Gardez votre calme Et Utilisez Un Autocollant Pour Ordinateur portable Password Manager

Bien sûr, chez F-Secure, nous sommes un peu biaisés! If Si vous le souhaitez, vous pouvez obtenir notre solution anti-malware multi-appareils et notre gestionnaire de mots de passe ici. En outre, cet ensemble comprend notre solution de protection des identifiants qui vous alertera si nos scanners dark / deep Web et nos équipes de renseignement humain trouvent vos données dans des violations en ligne, et l’ensemble comprend également notre solution VPN primée.

Une fois que vous utilisez un gestionnaire de mots de passe et, espérons-le, un gestionnaire qui vous avertit chaque fois qu’une violation de vos données a été détectée en ligne, l’étape suivante consiste à activer l’authentification à 2 facteurs (2FA) ou multifacteur (MFA) sur autant de comptes que possible.

MFA vous protège même si votre mot de passe est volé, car l’attaquant devra toujours obtenir votre jeton, en plus de votre mot de passe, pour pouvoir accéder à vos informations.

Rappelez-vous le cheval de Troie bancaire Android ci-dessus? C’est pourquoi il voulait la permission de lire vos SMS.

Lorsque vous activez la MFA, configurez si possible la MFA à l’aide d’une application à mot de passe unique (OTP) sur votre téléphone (par exemple FreeOTP) ou avec un générateur OTP physique comme un Yubikey, au lieu d’utiliser des SMS avec votre numéro de téléphone.

Les applications OTP et les clés physiques sont encore plus sécurisées que les SMS dans les cas où vous êtes personnellement ciblé, car les attaques dites “d’échange de cartes SIM” ne sont pas possibles. Si ces options ne sont pas disponibles, veuillez toujours activer l’AMF par SMS sur vos comptes.

Toute AMF vaut mieux qu’aucune AMF!

La Dernière Ligne de Défense Est Vous

Bien sûr, toutes ces protections peuvent toujours être contournées si vous donnez votre mot de passe et le jeton à l’attaquant, que ce soit par erreur ou parce que vous êtes contraint.

Des erreurs se produisent, surtout lorsque nous sommes occupés, fatigués et stressés. Pourtant, il n’y a jamais de bonne raison de donner à quelqu’un votre jeton MFA – essayez de vous en souvenir, et si dans un moment de faiblesse vous vous sentez commencer à accepter de le faire, j’espère que vous ralentirez et que vous vous arrêterez.

Si vous êtes dans une situation où vous êtes contraint de donner accès à vos comptes et à vos informations, de l’aide est disponible. Les exemples incluent l’opération Safe Escape et Le Refuge. Si cela s’applique à vous, veillez, dans la mesure du possible et en toute sécurité pour vous, à n’accéder à ces ressources qu’à des moments, à des endroits et sur des appareils qui ne sont pas connus de votre agresseur, par exemple dans une bibliothèque publique.

Si vous êtes victime de chantage ou de harcèlement avec des informations volées sans consentement, des organisations telles que la Cyber Civil Rights Initiative et des cabinets d’avocats spécialisés dans les droits des victimes tels que C.A.Goldberg pourraient vous aider à reprendre le contrôle.

Si vous êtes un militant ou un journaliste et que vous pensez être ciblé par des informateurs parrainés par l’État, des organisations comme Citizen Lab peuvent être en mesure de vous aider ou de vous orienter vers des experts de confiance locaux.

Leave a Reply