C'était l'âge d'or des criminels, et le cauchemar des adeptes du piratage de logiciels. Les campagnes de vol d'informations constituent aujourd'hui un problème majeur pour les consommateurs et les entreprises du monde entier. Des acteurs malveillants spécialisés développent des variantes de vol d'informations, un type de cheval de Troie d'accès à distance (RAT) qui infecte un ordinateur et extrait les identifiants enregistrés dans le navigateur, les cookies de session et d'autres données de la machine de la victime. Ces informations sont ensuite compilées dans des fichiers journaux et diffusées au sein de l'écosystème de la cybercriminalité via le dark web et Telegram.
Cet article examine deux campagnes de vol d'informations, l'une de 2022 et l'autre de 2023. Nous décrivons le mode opératoire de chaque campagne à l'aide de captures d'écran de victimes – des images capturées par le logiciel malveillant peu après l'infection – qui révèlent souvent des détails clés sur le déroulement de l'infection. L'objectif de cet article est de mettre en évidence les schémas d'attaque courants des campagnes de vol d'informations.
La campagne Snow* Microsoft 2022
*Neige, car « yuki » signifie neige en japonais
La campagne de vol de données Snow a ciblé un large éventail de victimes à travers le monde. Des appareils utilisant des langues françaises, anglaises, espagnoles, turques, portugaises, chinoises et même coréennes ont été identifiés sur plusieurs mois.
Tous ces appareils ont été infectés par le même procédé : des acteurs malveillants ont implanté une version piratée de Microsoft Office 2022 contenant la variante Aurora Infostealer et l’ont diffusée via des vidéos YouTube, grâce à un lien présent dans la description YouTube. 
Une recherche Google pour « crack Office 2021 » fait apparaître la vidéo YouTube qui faisait la promotion du voleur d'informations.
Le choix d'utiliser un logiciel aussi connu, fiable et essentiel que Microsoft Office (dont la licence est onéreuse, poussant certains utilisateurs à se tourner vers des alternatives illégales) est stratégique. Microsoft Office est reconnu mondialement comme la référence pour les tâches informatiques de base, avec des programmes populaires tels que Word, Excel et PowerPoint inclus dans la suite. Utiliser un outil aussi omniprésent comme appât pour diffuser un logiciel malveillant voleur d'informations permet d'atteindre un immense vivier de victimes potentielles, à travers le monde. Même dans les pays utilisant des alphabets différents, le nom « Microsoft » est universellement reconnu. Cela en fait un outil idéal pour l'une des campagnes de logiciels malveillants potentiellement les plus vastes à ce jour.
Les premiers utilisateurs recherchent « Office [Année] crack » et cliquent sur les premières vidéos qui leur sont suggérées : la vidéo « Microsoft Office 2022 Crack \Download Free\ Office 365 Free Version \ World Language » de la chaîne YouTube DataStat. Cette chaîne, en azerbaïdjanais, compte 37 vidéos et un peu plus de 2 13 abonnés (au 18 septembre 2024). La vidéo, auparavant disponible à l’adresse www.youtube.com/watch?v=kP58gLnluLY\n4, durait seulement une minute et treize secondes et proposait un tutoriel pour télécharger et installer la version crackée du logiciel. Cette vidéo n’est cependant plus disponible sur la chaîne.
YouTube est un vecteur majeur de distribution de logiciels malveillants. Des cybercriminels prennent le contrôle de comptes de petites chaînes YouTube légitimes et publient des vidéos expliquant comment obtenir et exécuter des logiciels piratés. Généralement, ils incluent ensuite un lien vers leur propre lien de téléchargement de l'application piratée dans la description de la vidéo.
On observe précisément ce scénario dans la campagne de vol d'informations Snow : une vidéo YouTube d'apparence inoffensive incite les internautes à télécharger une version piratée et malveillante d'un logiciel populaire. Dans la description de la vidéo, un lien de téléchargement promettant un accès gratuit au logiciel attire les utilisateurs.
En cliquant sur le lien, l'utilisateur est redirigé vers une page du Telegraph où on lui promet une « version gratuite d'Office ».
Cliquer sur le lien de téléchargement redirige l'utilisateur vers la page du Telegraph consacrée au « Logiciel de Yuki ».
Le logiciel malveillant est hébergé sur MEGA.nz, une plateforme de partage de fichiers populaire, et le lien fourni (https://mega.nz/file/DZxXBB5#iNTbuEP4K83I-5Blx114xYmGJIgZZStjTc352iU) permet aux utilisateurs de télécharger une archive compressée. 
Le lien MEGA.nz affiche une archive compressée pour « Microsoft_Office_Crack_2022 ».
Dans ces archives, les utilisateurs trouveront :
- deux fichiers de bibliothèque de liens dynamiques (DLL) (win-32.dll et win-64.dll)
- Un fichier exécutable (@fomicvell.exe)
- un dossier nommé « données »
Le fichier est protégé par un mot de passe – « YUKI » – qui est indiqué avec le lien de téléchargement dans la description de la vidéo.
L'archive contient deux fichiers de bibliothèque de liens dynamiques (DLL), un fichier exécutable et un dossier nommé « data ».
Dans de nombreux cas, les variantes de logiciels espions protègent délibérément les fichiers ZIP par mot de passe afin d'empêcher les analyses antivirus de détecter les virus lors du téléchargement. Dans certains cas, nous avons constaté que des acteurs malveillants fournissaient des instructions précises aux nouveaux distributeurs de logiciels espions sur les meilleures façons de contourner les technologies antivirus.
Lors du téléchargement du logiciel malveillant voleur d'informations, l'utilisateur voit ce qui ressemble à une fenêtre contextuelle légitime de Microsoft.
Une fois l'archive extraite, l'utilisateur croit accéder à une version piratée et gratuite d'Office. Or, au lieu d'un logiciel légitime, il a installé à son insu un logiciel malveillant voleur d'informations conçu pour collecter des données sensibles telles que les mots de passe, les identifiants et les cookies.
La campagne de mi-parcours
Midjourney est une plateforme de génération artistique basée sur l'IA, lancée en juillet 2022, qui s'est rapidement imposée comme l'un des outils de référence dans ce domaine. Initialement gratuite, elle est désormais proposée par abonnement. Profitant de ce regain d'intérêt du public, des cybercriminels ont exploité le désir des utilisateurs d'accéder aux services de Midjourney sans payer.
Les utilisateurs actuels et historiques de Midjourney accèdent au service via Discord, ce qui leur permet de rejoindre des chaînes et de générer des images par le biais de ces chaînes.
Plusieurs domaines malveillants imitant le site légitime de Midjourney ont été identifiés, notamment « ai.mid-journey.org » et « get.mid-journey.com ». L'un des principaux vecteurs d'infection est une publicité sponsorisée Google pour get.mid-journey.org. Malgré l'affichage d'un badge de sécurité vérifié pour le site légitime sous la publicité dans le navigateur des utilisateurs, nombreux sont ceux qui cliquent sur le lien sponsorisé, le croyant sûr.
La recherche du terme « midjourney » affiche des publications sponsorisées qui mènent vers des domaines malveillants.
Une fois piégés, les utilisateurs sont redirigés vers une page web imitant à la perfection la plateforme officielle de Midjourney. En cliquant dessus, ils sont redirigés vers une page présentant une prétendue « version bêta » du logiciel, accompagnée d'un avertissement indiquant que le programme pourrait déclencher des alertes antivirus.
Les auteurs du logiciel malveillant s'efforcent de rassurer les utilisateurs en affirmant que de telles alertes sont « typiques » et « attendues » pour les versions bêta, les encourageant à désactiver leur logiciel antivirus pour une « installation réussie ».
La page de téléchargement falsifiée de Midjourney affiche un bouton « Télécharger pour Windows ».
Notez que cette capture d'écran inclut une option « Télécharger pour Windows » même si Midjourney est principalement accessible via Discord (et inclut bien un fichier téléchargeable).
Ceci montre le fichier « MidSetup » téléchargé
Après avoir téléchargé le fichier exécutable et désactivé leur antivirus, comme indiqué, l'installation se poursuit. Cependant, le logiciel ne s'exécute pas et invite les utilisateurs à désactiver à nouveau leur antivirus. Bien que cela soit suspect, les utilisateurs continuent car ils ont été « avertis » de ce problème sur la page de téléchargement.
Lors de l'installation du fichier, quelques fenêtres contextuelles s'affichent, demandant à l'utilisateur de désactiver son antivirus.
Les utilisateurs cherchent comment désactiver leur antivirus. Après avoir suivi les instructions, leur système devient vulnérable et un logiciel malveillant voleur d'informations s'exécute. Si, dans un premier temps, ils espèrent accéder gratuitement au logiciel Midjourney, ils constatent rapidement que le programme reste inopérant.
Des recherches plus approfondies, telles que « ai.midjourney est-il un virus ? », incitent les utilisateurs à enquêter et révèlent qu'ils ont été victimes d'une escroquerie. À ce stade, leur système est déjà infecté, ce qui entraîne le vol d'informations sensibles comme leurs mots de passe, cookies et fichiers personnels.
Un utilisateur ayant téléchargé le logiciel malveillant recherche « virus ai.midj0urney.or ».
Sur cette dernière capture d'écran, on voit un utilisateur ayant téléchargé le logiciel malveillant vérifier si le site web « ai.midj0urney » est légitime ou s'il s'agit d'un virus. Dans de nombreux cas, nous avons constaté que les victimes cherchaient à comprendre pourquoi leur logiciel ne fonctionnait pas ou si elles venaient de télécharger un virus (spoiler : malheureusement, c'était le cas).
La dynamique d'une campagne
Les deux campagnes que nous avons analysées révèlent clairement l'architecture d'une campagne de vol d'informations. Les acteurs malveillants ciblent des logiciels courants (ou des produits nouveaux et prometteurs, comme dans le cas de Midjourney). Ils diffusent leurs publicités en piratant des comptes légitimes sur YouTube et Google Ads, qu'ils exploitent jusqu'à leur suspension, ce qui leur permet de toucher un large public.
La première campagne a suivi le plan de bataille suivant :
- La victime recherche « crack Microsoft Office 2022 » sur YouTube.
- Une vidéo YouTube de la chaîne DataStat attire les victimes avec un lien de téléchargement pour « Office gratuit ».
- Le lien redirige vers une page du Telegraph promettant des logiciels Office gratuits.
- Le logiciel malveillant est hébergé sur MEGA.nz ; les utilisateurs téléchargent une archive compressée.
- Dans l'archive : deux fichiers DLL (win-32.dll et win-64.dll), un exécutable (@fomicvell.exe) et un dossier nommé « data ».
- Le mot de passe de l'archive est indiqué comme « YUKI » dans la description de la vidéo.
- Une fois extrait et exécuté, le logiciel malveillant installe un voleur d'informations pour collecter des informations sensibles (mots de passe, identifiants, cookies).
Et la seconde, en revanche, a eu recours à la malvertising :
- Les utilisateurs recherchent un accès gratuit à Midjourney et cliquent sur une publicité sponsorisée par Google pour un faux domaine (par exemple, get.mid-journey.org).
- Les utilisateurs sont redirigés vers un site web imitant la plateforme de Midjourney, proposant une option « Télécharger pour Windows ».
- La page de téléchargement avertit des alertes antivirus et conseille aux utilisateurs de désactiver leur antivirus.
- Les utilisateurs téléchargent un fichier exécutable malveillant et suivent les instructions pour désactiver leur antivirus.
- Le logiciel malveillant s'installe et vole des données sensibles (mots de passe, cookies, fichiers personnels).
- Les victimes effectuent souvent des recherches par la suite pour vérifier si le site web était un virus, réalisant ainsi qu'elles ont été infectées.
Ces campagnes ne sont pas menées de manière isolée. Au contraire, chaque étape est soutenue par divers éléments de l'écosystème de la cybercriminalité qui fournissent aux acteurs les logiciels malveillants, les comptes et l'infrastructure nécessaires à leur réussite.
Surveillance des grumes de voleurs avec torchère
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Notre client, responsable de la sécurité des systèmes d'information (RSSI), a déclaré :
« Les journaux des voleurs de données ont été les [sources] où nous avons trouvé les renseignements les plus exploitables [avec Flare] concernant les identifiants divulgués. »
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
