Le nouveau cheval de Troie Saefko se concentre sur le vol des informations de votre carte de crédit et de vos portefeuilles cryptés -Commander sur Amazon -47 % Réduction





Retour de programmes malveillants volant des données mis à niveau avec Cryptominer et Trojan
Une grande partie de l'opération Scranos a été retirée en avril – mais elle est déjà de retour et les criminels qui la sous-tendent semblent plus déterminés que jamais, en ajoutant un cheval de Troie et un cryptojacker à leur logiciel publicitaire.

Un nouveau cheval de Troie vendu sur le Web sombre est livré avec une pléthore d’outils pour voler des informations bancaires, des identifiants de jeu en ligne et des portefeuilles de crypto-monnaie.

Des chercheurs de l’équipe Zscaler ThreatLabZ ont déclaré jeudi que le nouveau cheval de Troie, baptisé Saefko, est écrit en .NET et s’est doté de nombreuses fonctions qui en font un dangereux nouvel ajout au paysage des menaces.

Les chevaux de Troie d'accès à distance (RAT, Remote Access Trojans) infiltrent les systèmes par divers moyens, y compris des courriels de phishing avec des pièces jointes malveillantes, des téléchargements au passage, et parfois dans le cadre de logiciels fournis avec des sources non fiables.

Voir également: Facebook a abusé des chevaux de Troie d'accès à distance depuis 2014

Une fois que Saefko a infecté une machine, les opérateurs peuvent utiliser un outil d'administration prenant en charge plusieurs systèmes d'exploitation, notamment les appareils Windows et Android. Une annonce pour une version fissurée du logiciel malveillant trouvé dans un forum Web sombre est présentée ci-dessous.

screenshot-2019-08-09-at-09-38-08.png

Le cheval de Troie, saefkoagent.exe, va se décompresser et créer une clé de démarrage pour maintenir la persistance, en redémarrant à chaque redémarrage d'une machine infectée. Saefko tente de rester sous le radar et va vérifier secrètement une connexion Internet, ainsi que consulter l'historique du navigateur Google Chrome pour créer une liste de cibles propices au vol de données.

Le logiciel malveillant dispose d’une longue liste d’informations qu’il va tenter de collecter auprès d’une victime et qu’il envoie au centre de commande et de contrôle (C2) de son opérateur. Saefko explore les enregistrements de Google Chrome pour les visites sur les sites financiers, les médias sociaux, les crypto-devises, les jeux et les activités de vente au détail.

Saefko recherchera des journaux relatifs à une vaste gamme de sites Web, notamment PayPal, Amazon, Bitpay, Mastercard, Steam, Twitch, GameStop, Microsoft, YouTube, Capital, Bitstamp, Facebook, Instagram et Google Mail.

Les détaillants en ligne sont également intéressants, notamment Boohoo, Superdry, Macy's, Target et Alibaba.

Il semble également que les développeurs du logiciel malveillant souhaitent déterminer la valeur commerciale d'une victime, car la liste comprend des sites Web susceptibles d'avoir une valeur commerciale, tels que LinkedIn, le Financial Times, Investing.com, Reuters et Zacks.

Les domaines qu'une victime a visités, ainsi que le nombre de fois qu'il a été envoyé, sont envoyés au C2. Il appartient ensuite à l’opérateur d’allumer le feu vert pour la poursuite de l’infection, mettant en marche quatre modules différents.

HTTPClinet est le premier module en jeu et cet élément collecte les informations système, les envoie au C2 et demande des charges supplémentaires.

KEYLogger va capturer les frappes au clavier et les enregistrer dans un fichier texte, tandis que StartLocalServices vérifiera s'il existe des lecteurs amovibles ou en réseau et copiera le programme malveillant sur tous les périphériques USB amovibles trouvés.

TechRepublic: Tendances Black Hat 2019: campagnes d'influence sur les médias sociaux, grandes entreprises, piratage de guichets automatiques

Pour implémenter le dernier module, IRCHelper, toutes les connexions IRC (Internet Relay Chat) actuelles sont coupées. L'outil envoie ensuite une requête ping à une série de serveurs pour les commandes de vol de données, telles que le téléchargement et l'exécution de nouveaux fichiers, l'ouverture d'URL, la récupération d'informations d'emplacement système et le transfert du journal de frappe.

Saefko est également capable de compiler des fichiers vidéo avec des séquences d'un système infecté.

Les capacités du nouveau cheval de Troie sont plutôt étendues et, même si les identifiants de données et de compte restent lucratifs, de nouveaux logiciels malveillants dotés d'une fonctionnalité similaire de vol d'informations continueront à être développés.

CNET: Le malware Android préinstallé est une menace massive

Plus tôt cette semaine, des chercheurs de Trend Micro ont révélé les dernières tactiques de dissimulation du logiciel malveillant LokiBot. Les développeurs du malware ont commencé à utiliser la stéganographie, la pratique consistant à masquer du texte, des messages ou du code dans des fichiers image, pour masquer le code source.

Couverture précédente et connexe


Avoir un pourboire? Entrez en contact en toute sécurité via WhatsApp | Signal à +447713 025 499 ou plus à Keybase: charlie0






Laisser un commentaire