Recherche avancée sur les menaces : Analyse du malware voleur-collecteur d’origine russe

Collector-stealer, un malware d'origine russe, est largement utilisé sur Internet pour exfiltrer des données sensibles des systèmes des utilisateurs finaux et les stocker dans ses panneaux C&C. Pour aider l'industrie à se prémunir contre cette menace, Aditya K Sood et Rohit Chaturvedi du Centre d'excellence de recherche sur les menaces avancées au sein du bureau du CTO de F5 présentent une analyse à 360 degrés du malware Collector-stealer pour découvrir des artefacts cachés couvrant l'analyse binaire, son fonctionnement et la conception des panneaux C&C associés.

Le phénomène des collectionneurs-voleurs est devenu très répandu en relativement peu de temps. Les informations volées résultant de logiciels malveillants sont généralement rendues disponibles via des marchés clandestins à des fins malveillantes. Les attaquants ciblent principalement les pays européens à l'aide de Collector-stealer, mais ils affectent également les utilisateurs d'autres pays tels que les États-Unis, la Chine et le Cambodge.

Voici quelques-uns des points forts et des caractéristiques intéressantes de Collector-stealer découverts grâce à cette analyse :

• Le collectionneur-voleur utilise plusieurs moyens pour initier l'infection, notamment :
  • Inciter les utilisateurs à visiter des portails de phishing hébergeant des téléchargements de jeux gratuits
  • Logiciels d'activation/crack Windows
  • Portail Web de faux mineurs (portail Web qui imite un contenu similaire à celui du portail du fournisseur de logiciels de crypto-monnaie pour déclencher des attaques de téléchargements intempestifs)
• Collector Stealer est écrit en C++ et infecte la machine de l'utilisateur dans le but de voler des données cruciales telles que les mots de passe stockés, les données Web, les cookies, les captures d'écran, etc. Les auteurs de logiciels malveillants ont utilisé des techniques d’obfuscation dans leur code pour frustrer les chercheurs et rendre le code plus compliqué.
   
• Le collectionneur-voleur, avant d'envoyer des données au serveur C&C, vérifie la connectivité Internet sur la machine de la victime en pingant l'adresse IP 1.1.1.1 du résolveur DNS Cloudflare. Si la requête ping échoue, l'exécutable est supprimé ainsi que les données collectées sur la machine victime, puis il se ferme silencieusement. Sinon, il envoie les données collectées au serveur C&C.
   
• Le collecteur-voleur utilise le protocole HTTP et la méthode POST pour envoyer les données collectées. Avant d'envoyer des données, le logiciel malveillant compresse les données dans un fichier d'archive .zip qui est ensuite envoyé au serveur C&C.
  

Collector-stealer a gagné en popularité sur les forums underground en raison de ses nombreuses fonctionnalités de malware. Nous avons vu de nombreux utilisateurs manifester leur intérêt pour l’achat de ce malware et certains groupes ont même tenté de fournir une version crackée. Le groupe russe « Hack_Jopi » vend des Collector-stealer sur les forums depuis octobre 2018.

L'étude complète détaillant l'analyse de ce malware a été publiée dans Virus Bulletin. Pour obtenir le document de recherche approfondissant les conclusions ci-dessus et d'autres, visitez le site :
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

Apprécier!