Telegram: utilisé pour exfiltrer des données

0

Juniper Threat Labs vient de découvrir un nouveau spyware déployé via un cheval de Troie qui utilise l’application de messagerie sécurisée Telegram pour exfiltrer les informations volées à l’utilisateur.

L’utilisation de Telegram comme canal de commande et de contrôle (CnC) permet au malware de passer relativement inaperçu, car Telegram est une application de messagerie légitime qui compte 200 millions d’utilisateurs actifs par mois.

Le malware est promu sur les forums du dark web sous le nom de “Masad Clipper and Stealer”. Il vole les données du navigateur, qui peuvent contenir notamment des noms d’utilisateur, des mots de passe et des informations de carte de crédit. Masad Stealer remplace également automatiquement les portefeuilles de cryptomonnaies contenus dans le presse-papiers par les siens.

Toutes les informations recueillies, de même que les commandes reçues transitent à l’aide d’un bot Telegram contrôlé par le cybercriminel responsable du déploiement de cette instance de Masad.

Masad étant commercialisé sous forme d’un malware prêt à l’emploi, il a pour vocation à être déployé par de multiples acteurs malveillants, pas uniquement les auteurs du malware d’origine.

Voici comment fonctionne le malware

Ce malware est écrit à l’aide de scripts Autoit, puis compilé dans un exécutable Windows. La plupart des échantillons analysés ont une taille d’environ 1.5 MB, cependant, Masad Stealer peut également être dissimulé dans des exécutables de plus grande taille car il est parfois installé avec d’autres logiciels.

Quand Masad Stealer est exécuté, il se glisse dans %APPDATA%\nom_dossier}\{nom_fichier}, pour lesquels nom_dossier et nom_fichier sont définis dans le binaire. Par exemple, amd64_usbhub3.inf.resources et ws2_32.exe, respectivement. En tant que mécanisme persistant, Masad Stealer crée une tâche planifiée qui démarre toutes les minutes.

Après son installation, Masad Stealer commence par collecter les informations sensibles hébergées au sein du système, telles que :

  • Porte-monnaie de Crypto-monnaie
  • Informations sur le PC et le système
  • Données de carte de crédit enregistrées dans le navigateur
  • Mots de passe du navigateur
  • Logiciels et processus installés
  • Fichiers de bureau
  • Capture d’écran du bureau
  • Cookies du navigateur
  • Fichiers Steam
  • Champs AutoFill du navigateur 
  • Données de Discord et de Télégram
  • Fichiers FileZilla

Il zippe ces informations dans un fichier à l’aide de l’utilitaire 7zip, qui est inclus dans le binaire du logiciel malveillant.

En utilisant un token bot codé en dur, qui représente essentiellement un moyen de communiquer avec le bot Command and Control, Masad Stealer envoie ce fichier zip avec l’aide de l’API sendDocument.

D’après l’analyse effectuée par Juniper Networks, les principaux vecteurs de distribution de Masad Stealer se font passer pour un outil légitime ou sont hébergés au sein d’outils tiers. Les cybercriminels font en sorte que des utilisateurs finaux téléchargent le malware en même temps qu’un logiciel connu suite à une promotion effectuée dans des forums, sur des sites de téléchargement tiers ou sur des sites de partage de fichiers. Ci-dessous se trouve la liste des logiciels connus au sein desquels Masad Stealer a été  dissimulé :

  • CCleaner.exe
  • Iobit v 1.7.exe
  • ProxySwitcher
  • Utilman.exe
  • Netsh.exe
  • Fortniteaimbot  2019.exe
  • Galaxy Software Update.exe 
  • Base Creator v1.3.1 [FULL CRACK].exe
  • EXEA HACK CRACKED (PUBG,CS GO,FORTNITE,GTA 5,DOTA).exe
  • Icacls.exe
  • WSManHTTPConfig.exe
  • RADMIR CHEAT MONEYY.exe
  • Tradebot_binance.exe
  • Whoami.exe
  • Proxo Bootstrapper.exe
Share.

About Author

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply