Training: Managing Organizational Credential Leaks on Azure with Code
S'inscrire
Essai gratuit
Demandez une démo
Obtenez l'accès complet

Pleins feux sur les menaces : chaîne d'approvisionnement du dark web

  • Temps de lecture: 4 minutes

Aperçu exécutif

Les journaux Stealer sont une menace pour chaque entreprise.

Les acteurs de la menace infectent les appareils avec des logiciels malveillants voleurs, exfiltrent les empreintes digitales du navigateur et les connexions enregistrées dans le navigateur, et les vendent sur des places de marché dédiées au dark web pour moins de 50 $. Les violations causées par les voleurs de journaux peuvent causer des centaines de milliers, voire des millions de dollars de dommages aux organisations. La détection active d'appareils à vendre sur des marchés spécialisés d'appareils infectés peut réduire considérablement les risques de violation majeure de votre organisation. 

Flare Directeur Marketing Eric Clay - Surveillance des données des cadres supérieurs et des VIP CTO & Co-fondateur Mathieu Lavoie ont expliqué comment les acteurs malveillants améliorent continuellement leurs opérations, en particulier en diffusant des logiciels malveillants via le modèle "en tant que service", et comment les organisations peuvent garder une longueur d'avance sur eux.

Découvrez notre enregistrement complet du webinaire, Disséquer la chaîne d'approvisionnement du dark web, et/ou continuez à lire pour les faits saillants.

Cycle de vie d'une attaque de logiciel malveillant Stealer

Le cycle de vie des attaques de logiciels malveillants voleurs peut différer selon la souche de logiciels malveillants, mais voici les étapes générales :

  1. Le fournisseur de logiciels malveillants en tant que service (MaaS) vend des logiciels malveillants voleurs ainsi que l'infrastructure de commande et de contrôle associée (généralement sur les canaux de télégrammes illicites).
  2. Les hackers achètent le logiciel malveillant, puis mettent en place ou achètent une infrastructure de distribution (domaines similaires, serveurs de messagerie, sites Web fournissant des logiciels piratés).
  3. Les acteurs malveillants distribuent des logiciels malveillants voleurs par le biais de publicités malveillantes telles que (le hameçonnage ciblé), les attaques d'ingénierie sociale, etc. 
  4. Lorsque la victime interagit avec l'attaque du malware voleur, elle infecte l'ordinateur, volant des informations précieuses telles que les empreintes digitales du navigateur, les mots de passe enregistrés sur le navigateur, les connexions de crypto-monnaie, etc. Il prend également des informations de base sur le périphérique hôte, telles que le système d'exploitation, le type de périphérique, et les exfiltre vers l'infrastructure de commande et de contrôle (C&C). 
  5. Les acteurs et groupes de menaces vendent ces appareils infectés sur des marchés illicites spécialisés tels que Genesis et les marchés russes ou les chaînes Telegram. 
  6. D'autres acteurs malveillants peuvent acheter ces journaux de vol. Parfois, ils peuvent les acheter pour eux-mêmes afin d'accéder à un VPN ou à une connexion à un service d'abonnement en streaming, qui sont relativement bon marché. Dans certains cas, les acteurs de la menace recherchent spécifiquement des journaux qui incluent l'accès à des environnements d'entreprise sensibles, afin qu'ils puissent lancer eux-mêmes une attaque ou mettre aux enchères à un coût beaucoup plus élevé. 
  7. Un acteur de menace différent peut acheter l'un de ces journaux et l'utiliser pour lancer une attaque ou acheter l'accès à un courtier d'accès initial. 

Ce que prennent les logiciels malveillants Stealer

Qu'est-ce que le malware voleur vole exactement ? Voici les éléments potentiels : 

  • version du système d'exploitation
  • les cookies d'exploitation ou de session active du FAI qui peuvent être utilisés pour contourner l'authentification à deux facteurs
  • Authentification multifacteur 
  • adresses IP
  • Informations sur les clients FTP
  • Identifiants VPN
  • le son du cache du navigateur trouvé dans certaines variantes
  • emplacement géographique de l'appareil
  • empreintes digitales du navigateur à utiliser pour le piratage de session et la compromission de compte
  • portefeuilles de crypto-monnaie
  • Historique du navigateur
  • cartes de crédit enregistrées
Automatisez la gestion de votre exposition aux cybermenaces

Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.

 Inscrivez-vous pour un essai gratuit

Certaines nouvelles variantes de logiciels malveillants voleurs peuvent même voler des informations telles que les données copiées dans le presse-papiers. La plupart des informations sont renvoyées à l'infrastructure de commande et de contrôle, mais certaines variantes de logiciels malveillants voleurs peuvent agir comme un point d'entrée initial et servir de vecteur pour apporter des charges utiles supplémentaires.

Logiciels malveillants Telegram et Stealer

Les marchés Genesis et russes vendent des journaux de vol/des empreintes digitales de navigateur sur des places de marché Web sombres et claires dédiées. Les journaux Stealer peuvent également être trouvés sur les chaînes Telegram illicites, mais la méthode de vente est différente. Les acteurs malveillants achètent souvent l'accès à un canal qui partage des centaines de milliers de logs (avec un minimum garanti de logs distribués par mois). Certaines chaînes proposent des sièges spéciaux à environ 100-200 USD par mois pour garantir l'accès aux journaux les plus récents avant qu'ils ne soient montrés aux autres. 

Cependant, certaines de ces chaînes offrent un accès gratuit, ce qui peut entraîner des coûts cachés. L'expression "si c'est gratuit, c'est parce que vous êtes le produit" peut sonner vrai dans ces cas, car les journaux de vol distribués peuvent être infectés par des logiciels malveillants. Par conséquent, les acteurs de la menace mènent une fraude Telegram en mettant en place des canaux de journal de vol «gratuits» pour piéger des victimes supplémentaires. Pour ceux qui recherchent de telles chaînes Telegram, il vaut mieux être prudent.

Prix ​​Stealer Log

Bien que les bûches de voleur moyennes se vendent environ 10 à 30 USD, les prix peuvent varier considérablement en fonction de quelques facteurs.

Les prix susmentionnés peuvent être multipliés par cinq ou plus s'ils incluent l'accès à des environnements de soins de santé ou de services financiers, ou à des réseaux d'entreprise spécifiques. 

Si les courtiers d'accès initiaux achètent ces journaux de vol entre 100 et 150 USD, ils peuvent multiplier ce prix après avoir étendu et validé l'accès à 

D'après nos recherches, voici les prix moyens de divers appareils infectés :

  • Appareil infecté sur Genesis Market : 14.39 USD
  • Appareil infecté avec accès à 100 connexions de soins de santé d'entreprise : 93.91 USD
  • Appareil infecté avec accès à plusieurs comptes bancaires : 112 USD

La santé publique et les informations financières sont deux des types d'informations les plus précieux vendus illégalement. Les prix des grumes Stealer correspondent également à cette tendance.

Vous voulez en savoir plus sur Genesis et les marchés russes ? Lisez notre rapport : L'écosystème des logiciels malveillants Stealer : une analyse détaillée de la façon dont les appareils infectés sont vendus et exploités sur le Web sombre et clair.

Comment Flare peut aider

Flare surveille Genesis et les marchés russes ainsi que les chaînes Telegram illicites pour détecter les menaces à haut risque avant que des acteurs malveillants ne puissent agir dessus. 

Surveillance du marché des appareils infectés par Flare a permis à un client de trouver un appareil infecté et d'atténuer les risques.

Curieux de savoir comment Flare peut aider votre organisation à garder une longueur d'avance sur les attaques de logiciels malveillants voleurs ? Demandez une démo pour en savoir plus.

Partager cet article
Voir les publications

Flare

Rubriques connexes

Deciphering Black Basta’s Infrastructure from the Chat Leak

Pour en savoir plus

PowerSchool Hack; Takedowns and Arrests and Leaks, Oh My!; and ITRC Breach Report Findings 

Pour en savoir plus

The Underground’s Favorite Messenger: Telegram’s Reign Continues

Pour en savoir plus
4.9

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

4.9

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

4.9

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

4.9

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi la plateforme est utilisée par des organisations comme des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises logicielles.

COMMENCEZ L'ESSAI GRATUIT
Logo Flare
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2025 Flare Systems, Inc.
1751 Rue Richardson, Unit 3.108, Montreal, Quebec, H3K 1G6, Canada

Fabriqué au Canada 🍁
Collecting Cybercrime Intelligence Globally

société de cybersécurité soc 2
Logo Flare
Essai gratuit
Obtenez l'accès complet
Connexion