Journaux des voleurs : Guide pour les équipes de sécurité

16 octobre 2024

Cet article a été mis à jour le 11 décembre 2025.

Malware voleur d'informations L'une des tendances marquantes des années 2020 est le vol d'informations. Les cybercriminels exploitent depuis longtemps les identifiants divulgués pour mener des attaques contre les entreprises et les particuliers, mais les logiciels malveillants de type vol d'informations leur offrent un vecteur d'attaque nouveau et incroyablement facile. Des variantes de ces logiciels, comme Lumma, Redline, Raccoon, Vidar et autres, infectent les ordinateurs et exfiltrent tous les identifiants et cookies de session enregistrés dans le navigateur, ainsi que les jetons Discord, les identifiants VPN et les données des portefeuilles de cryptomonnaies. Un seul journal d'activité de vol d'informations contient toutes les données d'une victime.

Poursuivez votre lecture pour découvrir les avantages que les équipes de sécurité tireraient des journaux de vol de données.

Explorez un Interactif Journal des voleurs ci-dessous :

Structure du journal d'infostealer

ÉDUCATION

Cliquez sur les dossiers pour les développer, sur les fichiers pour afficher leur contenu. Toutes les données sont fictives.

Type de voleur
Voleur d'informations générique
Date d'extraction
2024-01-15 09:14 UTC
Taille du journal
47.3 MB
Contenu du journal

Ceci illustre la structure typique des journaux de vol d'informations (RedLine, Vidar, Lumma, Raccoon). Les équipes de sécurité utilisent ces informations pour évaluer l'étendue de la fuite lorsque des identifiants apparaissent dans des journaux divulgués.


    

  













L'évolution de l'écosystème des voleurs d'informations a entraîné une augmentation spectaculaire des attaques par vol d'identifiants. Les acteurs malveillants privilégient presque toujours la facilité lorsqu'ils tentent de compromettre des comptes de particuliers ou d'entreprises, et la large disponibilité des identifiants d'accès direct et des cookies de session simplifie considérablement la connexion aux applications.





Les journaux de vol d'informations représentent aujourd'hui l'un des principaux vecteurs de menace pour les entreprises. Un seul journal volé peut compromettre de nombreux identifiants d'entreprise et offrir aux acteurs malveillants un moyen simple de se connecter directement aux comptes de l'entreprise. De plus, les cookies de session peuvent être utilisés pour contourner l'authentification à deux facteurs. 















  

    

      
L'outil de renseignement sur l’exposition aux cybermenaces 

      
Votre organisation est-elle exposée ?

      
Plus de 60 % La plupart des entreprises de plus de 1 000 employés sont vulnérables à au moins une attaque de vol d'informations critiques. Flare surveille quotidiennement des millions de journaux d'activité de voleurs d'informations afin de vous permettre de détecter les identifiants compromis avant les attaquants.

      
      

        

          
          Validation et correction automatisées
        

        

          
          Configuration en 5 minutes
        

      

    

    
    

      
        Essayez gratuitement
        
          
          
        
      
    

  







Logiciel malveillant Infostealer en tant que service 





Le Écosystème de logiciels malveillants voleurs d'informations Tout commence avec des fournisseurs spécialisés, appelés fournisseurs de logiciels malveillants en tant que service (MaaS), qui vendent des licences pour des variantes de voleurs d'informations moyennant un abonnement mensuel (et parfois à vie). Ces transactions sont généralement effectuées sur des chaînes Telegram en utilisant la cryptomonnaie anonyme Monero.










Il est à noter que, dans ce cas précis, le compte Redline Stealer met fortement en avant une fonctionnalité spécifique et les données collectées par le voleur d'informations. L'écosystème du logiciel malveillant en tant que service présente de nombreuses caractéristiques d'une économie de marché concurrentielle, avec sa concurrence féroce, ses guerres des prix et sa publicité omniprésente. 





Campagnes d'infection par vol d'informations





Après qu'un acteur malveillant achète une licence pour logiciel malveillant voleur d'informationsIls doivent mettre en place un système pour infecter massivement leurs victimes. Les acteurs malveillants disposent de nombreux moyens pour y parvenir. Chez Flare, nous avons observé des dizaines d'exemples de campagnes, allant de la création d'infrastructures personnalisées pour usurper l'identité de marques spécifiques à la simple prise de contrôle de comptes YouTube et la publication d'une vidéo proposant des logiciels piratés gratuits, puis le partage d'un lien sur une plateforme de partage de fichiers afin d'inciter des victimes non averties à télécharger le logiciel malveillant.





Exemple : La campagne de vol d'informations Midjourney 





La plupart des campagnes de vol d'informations ne sont pas très complexes, mais certaines nécessitent des investissements considérables en temps et en efforts de la part des acteurs malveillants. Un exemple frappant et sophistiqué de distribution de logiciels de vol d'informations s'est produit en 2023, lorsque des acteurs malveillants ont mis en place une campagne élaborée pour usurper l'identité de la plateforme d'IA Midjourney afin de réaliser des infections massives. 





Cette campagne comportait plusieurs étapes ; tout d'abord, ils ont créé un site web imitant le logiciel de génération d'images de Midjourney :










Notez que la page fait la promotion de Midjourney gratuitement et que le domaine est ai.mid-journey.org au lieu du véritable site web de Midjourney, qui se trouve à l'adresse midjourney.com. 





Ensuite, les auteurs de la menace ont créé ou pris le contrôle de plusieurs comptes publicitaires Google afin de garantir que le résultat apparaisse en haut de la page lorsque les utilisateurs recherchaient « midjourney ». Difficile à estimer, cette campagne a néanmoins entraîné des dizaines de milliers d'infections sur une période de plusieurs mois. 





Dans de nombreux cas, les acteurs malveillants utilisent même des applications de messagerie populaires telles que Discord et Telegram comme infrastructure C2, en tirant parti des API pour renvoyer directement les journaux des victimes aux plateformes, ce qui simplifie considérablement les exigences en matière d'infrastructure. 





Distribution des grumes de voleur





Les acteurs malveillants qui lancent des campagnes d'infection sont souvent (mais pas toujours) différents de ceux qui exploitent activement les journaux d'activité. En effet, les acteurs malveillants peuvent également appliquer des principes économiques, et il est bien plus rentable pour eux de se concentrer sur un maillon de la chaîne d'approvisionnement (comme l'exploitation de l'accès aux journaux d'activité) que de concevoir un logiciel malveillant, d'en assurer la distribution, puis d'exploiter activement les identifiants.





Distribution des grumes de Stealer sur Telegram





Les cybercriminels monétisent généralement les journaux de vol de données collectés de deux manières principales. La première, et la plus courante, consiste à utiliser un canal Telegram privé et un canal public. Les journaux les plus récents sont publiés sur le canal privé, tandis que les plus anciens le sont sur le canal public, qui sert de publicité pour le canal privé. Les acteurs malveillants limitent le nombre de membres du canal privé à 10-25 et facturent plusieurs centaines d'euros par mois pour un « abonnement ». Le canal public fait office de publicité, un peu comme un échantillon gratuit dans un supermarché. 










Exemple de publicité pour une chaîne Telegram privée, Acheter une « licence à vie » auprès de cybercriminels est probablement une mauvaise idée.





Distribution de grumes de voleur sur le marché russe





Russian Market est une boutique du dark web spécialisée dans la vente de journaux de vol de données. Contrairement aux chaînes Telegram où les cybercriminels téléchargent en masse ces journaux, Russian Market leur permet de rechercher des domaines spécifiques au sein même du journal. Chaque journal est vendu une seule fois pour 10 $, quel que soit son contenu.





Exploitation des journaux de voleurs










Navigateur anti-détection permettant à l'utilisateur de réutiliser les cookies de session tout en imitant des informations clés de l'ordinateur de la victime afin de contourner les mécanismes anti-fraude. 





Avant d'aborder un exemple précis, commençons par examiner de manière générale comment les cybercriminels exploitent les journaux de vol d'informations. Les applications web ne se contentent pas des cookies de session et des identifiants pour authentifier les utilisateurs. Dans certains cas, elles analysent également l'« empreinte numérique » du navigateur afin d'identifier des informations clés sur l'utilisateur, permettant ainsi une validation supplémentaire. L'association de logiciels malveillants de vol d'informations, de navigateurs anti-détection et d'outils de vérification constitue une stratégie à plusieurs volets pour contourner ces contrôles.





Les acteurs malveillants utilisent des navigateurs anti-détection pour usurper l'empreinte numérique du navigateur de l'utilisateur à partir des informations contenues dans le journal de vol de données. Ils parviennent ainsi à réutiliser les cookies de session et à faciliter une prise de contrôle de compte. Une fois à l'intérieur du compte, l'acteur modifie les informations clés du profil, telles que l'adresse e-mail, le mot de passe et l'authentification à deux facteurs (2FA), en les remplaçant par des mécanismes d'authentification qu'il contrôle. Que font ensuite les acteurs malveillants ? Cela dépend : chaque acteur se spécialise dans la prise de contrôle de différents types de comptes. Voici quelques méthodes courantes :





1. Exploiter les informations volées à des fins personnelles, par exemple en utilisant les données de cartes de crédit volées. 





Selon une étude de Flare, les journaux de vol contenant des données financières telles que les identifiants bancaires et les numéros de cartes de crédit se vendent à un prix élevé. moyenne de $ 112 Sur Genesis Market, le prix moyen des journaux de connexion est d'environ 15 $, contre une moyenne d'environ 15 $ pour l'ensemble des journaux disponibles à la vente. Les cybercriminels accordent une grande importance aux comptes financiers, car ils peuvent ainsi voler directement les consommateurs. 





2. Obtenir un accès non autorisé à d'autres systèmes.





Les mauvais acteurs comme TRIPLE RENFORCEMENT Le groupe exploite les journaux d'activité des voleurs d'informations pour récupérer des identifiants et des cookies volés. Il détourne des serveurs cloud pour des opérations de minage de cryptomonnaies et d'autres activités malveillantes. 





3. Vendre les informations à d'autres criminels.





Les acteurs malveillants tirent profit de la diffusion de ces journaux de vol de données ou renforcent leur réputation en les distribuant. Ils peuvent ouvrir un canal Telegram public proposant un « échantillon » gratuit de journal de vol de données, puis accorder l'accès à des canaux privés contenant des journaux plus récents pour 200 à 500 $ par mois. 





Dans un autre exemple, les acteurs malveillants pourraient vendre à courtiers en accès initial qui achètent des centaines de milliers de journaux de voleurs pour identifier les identifiants qui pourraient servir d'accès initial aux environnements informatiques d'entreprise. 





Les courtiers en accès initial ciblent les journaux de vol d'identité des pirates ayant accès aux CRM, RDP, VPN, plateformes d'hébergement cloud, applications SaaS et autres appareils d'entreprise. Ils exploitent ces identifiants pour obtenir un accès initial aux systèmes de l'entreprise, puis revendent cet accès aux enchères sur des forums de cybercriminalité tels que XSS et Exploit. 





Étude de cas d'exploitation de journaux de voleurs : Attaque par prise de contrôle de compte bancaire










Capture d'écran d'Infostealer, Le 5 septembre 2024Campagne BLTools. Veuillez noter la présence du fichier « Bypass KYC New working Updated » enregistré sur l'hôte.





Date d'infection : 5 septembre





Outils potentiellement pertinents : Telegram, BLTools





Addresse : Nigéria





VM/Proxy : Non





Nous allons maintenant examiner le cas d'un criminel ayant lui-même été infecté par un logiciel espion, ce qui a compromis ses identifiants et son historique de navigation. Cet exemple illustre parfaitement comment les cybercriminels exploitent les journaux de connexion à des fins illégales. 





Cet utilisateur illustre parfaitement comment un acteur malveillant exploite les journaux de vol de données. Il a été infecté par le téléchargement de BLTools (très probablement d'après les détails de la campagne), et un simple coup d'œil à son profil révèle que son objectif est d'accéder directement aux comptes de services financiers. L'adresse IP et d'autres données présentes sur son ordinateur permettent de le localiser au Nigéria. Les URL suivantes contenaient des identifiants enregistrés dans son navigateur :





    

  • coinbase (plateforme d'échange de cryptomonnaies)
    • 




  • oi.huidclaims.ui.hawaii.gov (site de réclamations gouvernementales)
    • 




  • 53.com (services bancaires)
    • 




  • patriotsoftware (gestion de la paie des entreprises)
    • 




  • found.com (services bancaires pour petites entreprises)
    • 






Il est intéressant de noter qu'en examinant de plus près l'historique de navigation, on constate qu'ils semblent avoir réussi. En effet, cet historique contenait un exemple concret de prise de contrôle d'un compte client de Bank of America par détournement de session. L'analyse de l'historique de navigation des criminels révèle : 





https://secure.bankofamerica.com/login/sign-in





https://secure.bankofamerica.com/login/sign-in





https://secure.bankofamerica.com/login/sign-in/signOnSuccessRedirect





https://secure.bankofamerica.com/myaccounts/signin/signIn





https://secure.bankofamerica.com/myaccounts/brain/redirect





https://secure.bankofamerica.com/myaccounts/accounts-transfer





https://transfers.bankofamerica.com/jsp/bofa/account_add





https://transfers.bankofamerica.com/jsp/bofa/ft_overview





https://transfers.bankofamerica.com/jsp/bofa/make_transfer





https://secure.bankofamerica.com/myaccounts/signoff/signoff-default





    

  1. L'attaquant a accédé à la page de connexion de Bank of America, s'est connecté avec succès et a consulté les détails du compte via la page « Aperçu des comptes ». Cela laisse supposer qu'il avait accès aux identifiants de connexion bancaire ou aux cookies de session présents dans les journaux d'activité des voleurs d'informations.
    2. 






    

  1. L'individu a accédé à la fonctionnalité « Virements vers d'autres banques », probablement dans le but de transférer des fonds vers des comptes externes. Les URL, notamment celles mentionnant « interbankTransfersSA » et « cashedge », suggèrent une tentative de transfert d'argent entre différentes institutions financières, potentiellement vers des comptes contrôlés par l'auteur de la menace ou à des fins de blanchiment.
    2. 






    

  1. Ces URL montrent comment l'attaquant navigue entre les pages pour valider des adresses électroniques, ajouter de nouveaux comptes externes et gérer des comptes à des fins de virement. Cette étape est essentielle pour lier des comptes bancaires externes et faciliter les virements frauduleux.
    2. 






    

  1. L'individu a vraisemblablement effectué des virements vers des comptes nationaux ou internationaux. L'URL finale indique que le système a été utilisé pour initier et gérer des transferts financiers.
    2. 






    

  1. Une fois leurs activités terminées, les acteurs se déconnectent de leurs comptes.
    2. 






Cet exemple illustre couramment comment les acteurs malveillants utilisent les journaux de vol d'informations, recherchent des identifiants financiers facilement accessibles, y accèdent et transfèrent de l'argent vers un compte que l'acteur peut utiliser pour transférer ultérieurement les fonds obtenus illégalement. 





Meilleures pratiques pour les équipes de sécurité : Prévention, détection et correction des journaux de voleurs de données





Les organisations peuvent prévenir, détecter et corriger les vols de journaux en mettant en œuvre les mesures suivantes :





    

  • Gestionnaires de mots de passe: Encouragez vos employés à utiliser un gestionnaire de mots de passe et à ne pas les enregistrer dans leur navigateur. Cela permet de réduire considérablement les risques.
    • 




  • AMF : L'authentification multifacteurs renforce la sécurité des appareils d'entreprise. Les journaux d'activité malveillants peuvent dérober les cookies de session, mais il est possible que ces derniers ne soient plus valides.
    • 




  • Entrainement d'employé: Les employés constituent la première ligne de défense contre les risques externes. Proposer des formations en cybersécurité, notamment des formations complémentaires pour les utilisateurs n'ayant pas suivi la formation initiale, permettra d'améliorer globalement les défenses de l'organisation. 
    • 




  • Politiques relatives aux appareils personnels : L'enregistrement des identifiants professionnels dans le navigateur des appareils personnels des employés constitue un facteur de risque majeur. Il est également crucial que les employés ne partagent pas leurs appareils professionnels. Des politiques strictes encadrant l'utilisation des appareils professionnels et personnels contribueraient grandement à prévenir les logiciels malveillants voleurs d'informations.
    • 




  • Restriction des droits de téléchargement : Limitez la possibilité de télécharger et d'installer des logiciels à un groupe d'utilisateurs restreint. Mettez en place une liste blanche d'applications afin d'empêcher l'installation de logiciels non autorisés, souvent à l'origine d'infections par des logiciels espions.
    • 




  • Surveillance des journaux des voleurs : Assurez-vous que votre plan de gestion continue des menaces inclut la surveillance des journaux de vol de données sur le web visible, le web profond et le dark web. Cela permettra à votre organisation de détecter plus rapidement les fuites de données potentielles.
    • 






Comment Flare lutte contre la menace des voleurs de grumes





Comment Flare surveille-t-il les journaux des voleurs de données ?





La consultation manuelle de sources illicites peut s'avérer extrêmement difficile, et la recherche de journaux de voleurs pertinents pour votre organisation rend cette recherche encore plus ardue.





Flare de Gestion de l'exposition aux menaces (TEM) Cette solution surveille automatiquement le web clair et le dark web afin de fournir des renseignements exploitables et priorisés sur les menaces externes, y compris les journaux de vol de données. 





Nous suivons plus de 100 millions de journaux de voleurs, avec plus de 1.3 million de nouveaux journaux de voleurs par semaine.





Pour en savoir plus sur les journaux de vol et l'accès des entreprises, consultez le rapport sur Journaux des voleurs, authentification unique et nouvelle ère de la cybercriminalité en entreprise.





Surveillance des grumes de voleurs avec torchère





Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.






  
  

    
  












Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.


Partager l'article