Selon un rapport de Group-IB, les cybercriminels délaissent de plus en plus la fraude automatisée en tant que service au profit de distributeurs de malwares plus avancés capables de voler des informations d’identification. D’une part, la concurrence pour les ressources augmente et d’autre part, ils cherchent d’autres solutions pour gagner de l’argent. L'entreprise de cybersécurité a identifié 34 groupes russophones qui distribuent des logiciels malveillants spécialisés dans le vol d'informations selon le modèle « stealer-as-a-service ». Ces derniers recueillent les données d'identification des utilisateurs stockées dans les navigateurs, les comptes de jeux, les services de messagerie, les médias sociaux, mais aussi les informations de cartes bancaires et des portefeuilles de cryptomonnaie des ordinateurs infectés.

Envoyées à l'opérateur du malware, ces données sont ensuite vendues sur le dark web ou utilisées pour mener des opérations frauduleuses. Les pirates identifiés se coordonnent via des groupes Telegram pour mener leurs campagnes. L’accès très accessible à ces services en termes de coûts et le processus entièrement automatisé font que le stratagème est très prisé des cybercriminels novices. « Les débutants n'ont pas besoin d'avoir de connaissances techniques avancées, car le processus est complètement automatisé et la seule chose à faire est de créer un fichier avec un voleur dans le bot Telegram et de diriger le trafic vers celui-ci », a déclaré Ilia Rozhnov, responsable de Group-IB Digital Risk Protection APAC.

Hausse substantielle des malwares en 2022

Selon l'équipe de Group-IB Digital Risk Protection, c’est au début de l’année 2021 que les groupes Telegram et les bots conçus pour distribuer des voleurs d'informations ont fait leur apparition pour la première fois. Cependant, l’entreprise de cybersécurité note une augmentation substantielle des malwares au cours des sept premiers mois de cette année, avec plus de 890 000 appareils infectés dans 111 pays, contre 538 000 appareils infectés en 2021. Au cours des sept premiers mois de cette année, les acteurs de la menace ont volé plus de 50 millions de mots de passe, deux milliards de fichiers de cookies, les informations de 103 150 cartes bancaires et les données de 113 204 portefeuilles de crypto-monnaies. « La valeur marchande sur le marché parallèle des seuls journaux volés et des informations de cartes bancaires a atteint environ 5,8 millions de dollars », a estimé Group-IB. Paypal et Amazon ont été les plus ciblés, Paypal totalisant plus de 16 % des attaques et Amazon plus de 13 %. « Cependant, les vols de mots de passe en vue de compromettre des services de jeux comme Steam, EpicGames, Roblox ont été multipliés par près de cinq », a précisé Group-IB. Les cinq pays les plus attaqués sont les États-Unis, le Brésil, l'Inde, l'Allemagne et l'Indonésie.

RedLine et Racoon, en tête des « stealers » utilisés

Parmi les 34 groupes examinés, c’est RedLine qui détient la palme, puisqu’il a été utilisé par 23 groupes. Racoon, utilisé par huit groupes, arrive en seconde position. « Des voleurs personnalisés ont été utilisés par trois groupes », fait encore remarquer Group-IB. Les membres du groupe reçoivent les deux outils en échange d'une part des données volées, ou en rétrocédant un pourcentage de l'argent récolté. « Le malware concerné est proposé à la location sur le dark web pour 150 à 200 dollars par mois. Certains groupes utilisent trois voleurs en même temps, tandis que d'autres n'ont qu'un seul voleur dans leur arsenal », a précisé Group-IB. En moyenne, les 34 groupes de distributeurs de voleurs d'informations identifiés sur Telegram comptent 200 membres actifs. Le travail des membres du groupe consiste à diriger le trafic vers des sites Web frauduleux se faisant passer pour des entreprises connues et de convaincre les victimes de télécharger des fichiers malveillants.

« Les cybercriminels intègrent des liens permettant de télécharger des voleurs dans des critiques vidéo de jeux populaires sur YouTube, dans des logiciels de minage de crypto-monnaie ou des fichiers NFT sur des forums spécialisés et des communications directes avec des artistes NFT, ou encore dans des tirages au sort et des loteries sur les médias sociaux », a encore déclaré l’entreprise de cybersécurité.

Se prémunir contre les attaques

Pour prévenir ces attaques, Group-IB recommande aux utilisateurs d'éviter de télécharger des logiciels provenant de sources suspectes, d'utiliser des machines virtuelles isolées ou des systèmes d'exploitation alternatifs pour l'installation, de ne plus enregistrer les mots de passe dans les navigateurs et d'effacer régulièrement les cookies des navigateurs. Il recommande également aux entreprises d'adopter une approche proactive de la sécurité numérique et d'utiliser des technologies modernes pour surveiller les attaques et y répondre.