
Il y a eu une vague de variantes de logiciels malveillants d'infostealer telles que Redline, Aurora, Raccoon, Vidar, et plus, au cours des dernières années. Comme son nom l'indique, ce type de logiciel malveillant vole des informations sur les appareils qu'il infecte.
Pour mieux comprendre la menace des logiciels malveillants d'infostealer, nous avons analysé les tendances de 19.6 millions de journaux de voleurs tels que :
- Nombre d'infections contenant des identifiants d'entreprise
- Prix moyen des infostealers avec accès bancaire
- Principales applications grand public apparaissant dans les journaux
Consultez notre rapport qui se concentre sur les journaux de voleurs ayant accès aux environnements informatiques d'entreprise ou faites défiler en dessous pour la version texte.
Introduction
La croissance exponentielle des logiciels malveillants infostealer est l’une des principales tendances de la cybercriminalité au cours des trois dernières années. Les variantes d'Infostealer telles que Redline, Raccoon, Titan, Aurora et Vidar peuvent infecter les ordinateurs des particuliers et des entreprises et extraire les informations d'identification des navigateurs des appareils. Ces « bûches volées » sont ensuite emballées ensemble et distribuées ou vendues sur marchés du dark web et Chaînes de télégramme.
La croissance explosive des logiciels malveillants Infostealer représente une menace constante et importante pour toutes les organisations. Les employés enregistrent régulièrement les informations d'identification de l'entreprise sur leurs appareils personnels ou accèdent à des ressources personnelles sur les appareils de l'organisation, augmentant ainsi le risque d'infection. Il existe un écosystème complexe dans lequel les fournisseurs de Malware as a Service (MaaS) vendent des logiciels malveillants infostealer sur des canaux Telegram illicites, les acteurs malveillants les distribuent via de faux logiciels piratés ou des e-mails de phishing, puis vendent les journaux des appareils infectés sur des marchés spécialisés du dark web.
L'acteur menaçant fait la promotion du malware voleur RedLine
Comparés aux formes plus « traditionnelles » de risque du dark web, telles que le credential stuffing, les appareils infectés constituent une menace unique ; Une fois que le logiciel malveillant infostealer infecte un appareil, il utilise plusieurs techniques d’obscurcissement complexes et commence à exfiltrer les données vers une infrastructure de commande et de contrôle dédiée. Les données exfiltrées comprennent généralement :
- L'empreinte digitale du navigateur Web (y compris tous les mots de passe et formulaires enregistrés dans le navigateur)
- Informations sur le système d'exploitation
- Informations sur le FAI
- Connexions au portefeuille de crypto-monnaie
- Fichiers potentiellement confidentiels ou sensibles
Ce rapport de recherche Flare examine plusieurs ensembles de données, dont plus de 19.6 millions de journaux de voleurs, et vise à comprendre combien d'infections par infostealer contiennent un accès aux informations d'identification de l'entreprise, quel est le prix moyen des infostealers avec accès bancaire et comment les applications grand public apparaissent dans les journaux d'infostealer.
Principales conclusions
- Sur la base de notre analyse de plus de 19.6 millions de journaux de voleurs, au moins 1.91 % des journaux de vol contiennent l'accès aux informations d'identification des applications professionnelles couramment utilisées par les organisations du monde entier, telles que Salesforce, Hubspot, AWS, GCP, Okta et DocuSign, ce qui représente 376,107 se connecte dans notre échantillon.
- (Veuillez noter que cette statistique reflète les identifiants des utilisateurs de ces applications à vendre et n'indique pas que les identifiants appartenant aux employés des organisations répertoriées ont été compromis ou que les organisations elles-mêmes ont subi une violation de données).
- 48,173 XNUMX journaux contiennent un accès à une ressource qui inclut « okta.com », représentant un accès presque certain aux ressources de l'entreprise.
- Les journaux de voleurs contenant l'accès à des comptes de services financiers tels que des portails bancaires et de retraite ont atteint un prix nettement plus élevé sur Genesis Market que ceux ayant accès uniquement aux applications grand public (en moyenne $112 pour les journaux liés aux services financiers contre une moyenne de $15 sur toutes les grumes à vendre).
- Plus de 200,000 les journaux de vol contiennent l'accès aux informations d'identification OpenAI, représentant 1% de tous les journaux de voleurs analysés.
- Le marché russe et les salles VIP Telegram représentaient les sources d'accès d'entreprise les plus courantes dans nos exemples de données.
- Dans notre échantillon de journaux de voleurs,% 46.9 avait accès aux informations d'identification Gmail, ce qui représente plus de huit millions d'appareils infectés.
Les niveaux d’accès à Infostealer
Pour rendre les journaux des voleurs plus faciles à comprendre, nous les avons divisés en niveaux en fonction du type d'informations d'identification contenues dans le journal des voleurs et du type d'accès que l'acteur malveillant est susceptible de tenter d'obtenir en utilisant les informations d'identification présentes dans les journaux : Niveau 1 : Accès à l'informatique d'entreprise et aux applications commerciales, niveau 2 : appareils infectés et services bancaires, et niveau 3 : applications grand public et journaux des voleurs.
Journaux de niveau 1 : informations d'identification d'entreprise de grande valeur
De nombreux employés enregistrent leurs mots de passe dans leur navigateur. Lorsque les logiciels malveillants infostealer infectent leurs ordinateurs, ils compromettent simultanément toutes les informations d'identification enregistrées dans le navigateur, cela peut inclure les CRM et les informations d'identification pour RDP, VPN, plates-formes d'hébergement cloud, accès aux applications SaaS et autres appareils d'entreprise. Les acteurs de la menace accordent une grande importance aux informations d'identification des entreprises, et les courtiers d'accès initial les ciblent souvent pour exploiter et étendre l'accès avant de les revendre sur des forums du Dark Web de premier plan tels que Exploit et XSS.
Message du forum du dark web Exploit In où un courtier d'accès initial cherche à acheter des journaux de vol en masse
Journaux de niveau 2 : informations d'identification des services bancaires et financiers
Ces journaux contiennent des informations d'identification disponibles pour les principales banques de consommateurs, que les acteurs malveillants peuvent utiliser pour voler ou dépenser directement de l'argent sur les comptes des consommateurs. Les cybercriminels les apprécient également beaucoup, puisqu'ils rapportent en moyenne 112 $ sur Genesis Market (contre une moyenne de 15 $ pour l'ensemble des journaux en vente). Dans certains cas, les acteurs malveillants cibleront les comptes bancaires personnels ou professionnels et revendront l’accès sur les marchés Telegram ou du Dark Web.
Journaux de niveau 3 : applications grand public
Ces journaux sont utiles car les acteurs malveillants peuvent les utiliser pour accéder aux applications VPN grand public, aux services de streaming et à d'autres applications afin d'économiser de l'argent sur les abonnements mensuels. Il s'agit des journaux les moins valorisés, se vendant généralement entre 10 et 15 $ par fichier journal.
Où les journaux de vol sont-ils distribués ?
Nous pouvons généralement classer la distribution des journaux de vol en quatre catégories, chacune avec son propre système de tarification et sa propre proposition de valeur à l'auteur de la menace.
Canaux de « journaux » de télégrammes publics
Il s'agit de chaînes Telegram accessibles au public qui fournissent des téraoctets de journaux de vol par mois, principalement des journaux de « niveau 3 » contenant l'accès aux applications grand public. Il s'agit de publicités pour des salles Telegram privées payantes (de la même manière que Costco et Trader Joe's distribuent des échantillons de nourriture gratuits). Les chaînes VIP coûtent souvent plusieurs centaines de dollars par mois et comportent des exigences d'accès supplémentaires.
Publicité d'un acteur menaçant pour une chaîne Telegram de journaux de vols d'abonnements
Canaux de télégramme privés
Les acteurs malveillants hébergent ces salles afin de distribuer de grandes quantités de journaux avec un modèle d'abonnement mensuel qui monétise l'accès. Il s’agit souvent de journaux de plus grande valeur auxquels beaucoup moins d’acteurs malveillants y ont accès. Nous pensons que c'est le principal moyen utilisé par les cybercriminels pour monétiser les journaux des voleurs sur Telegram. Ces canaux sont uniquement sur invitation et sont généralement limités à 25 à 30 utilisateurs, avec des centaines de milliers de journaux publiés chaque mois directement dans le canal ou fournis via MEGA pour les fichiers de grande taille.
Publicité d'un acteur menaçant pour une chaîne Telegram de journaux de vols d'abonnements
Marché russe
Russian Market est une place de marché du dark web spécialisée dans la vente d'accès à des appareils et à des informations. Le marché russe prix tous les journaux de manière égale à 10 $ par journal et fonctionne sur le dark web.
La page d'accueil du marché russe
Marché de la Genèse
Genesis Market fonctionnait comme un marché Web clair avant le récent retrait des forces de l'ordre. Plus récemment, il a fonctionné entièrement sur TOR. Par rapport aux canaux Telegram, Genesis Market fournit des données de journal structurées et analysées ainsi qu'une interface qui permet aux acteurs malveillants de cloner de manière transparente l'empreinte digitale du navigateur d'une victime. Les prix varient selon les listes de Genesis Market en fonction de la valeur perçue de l'appareil.
Le nombre d’applications grand public est directement proportionnel à ce que nous considérons comme le cas d’utilisation le plus courant parmi les acteurs malveillants pour les journaux de vol. La plupart des acteurs ne cherchent pas à pirater les environnements des entreprises ; au lieu de cela, ils recherchent un accès facile aux applications grand public de base pour économiser quelques dollars ou, dans des cas plus sophistiqués, compromettre un compte bancaire pour acheter de la cryptomonnaie ou vider le compte.
Les visiteurs de Genesis Market peuvent rechercher des robots dotés de certaines fonctionnalités
Journaux de niveau 1 : accès aux applications SaaS grand public d'entreprise
Il existe un certain sous-ensemble de journaux qui, selon nous, sont appréciés en raison du fait qu'ils ont accès aux environnements et applications informatiques de l'entreprise. Les courtiers en accès initial qui vendent l'accès aux environnements informatiques d'entreprise sur des forums du dark web tels que Exploit In et XSS recherchent spécifiquement ces journaux de voleurs afin de faciliter l'accès initial.
Afin de déterminer si un appareil infecté bénéficie d'un accès d'entreprise à grande échelle, nous avons défini certains indicateurs qui, selon nous, sont susceptibles d'être fortement corrélés à l'accès d'entreprise. En examinant les journaux de vol qui contiennent l'accès aux applications SaaS couramment utilisées par les organisations, nous pouvons établir une base de référence sur la fréquence d'accès aux ressources SaaS d'entreprise dans notre ensemble de données. Nous pensons que les informations d'identification suivantes contenues dans un journal de vol rendent très probable qu'il contienne un accès à une ressource d'entreprise :
- Infrastructure informatique d'entreprise
- connexion.aws.amazon.com
- console.cloud.google.com
- Contrat commercial et applications financières
- compte.docusign.com
- comptes.intuit.com
- Sous-domaines incluant Okta
- Applications CRM et données clients
- application.hubspot.com
- connexion.salesforce.com
Veuillez noter que cela ne représente qu'un petit nombre d'applications pouvant indiquer un accès d'entreprise. Nos chiffres doivent servir de référence pour un accès potentiel, et non d’estimation définitive. Nous pensons que si des applications supplémentaires étaient prises en compte, 2 à 3 % ou plus des journaux de voleurs contiendraient probablement un accès d'entreprise.
- Infrastructure informatique d'entreprise
Nous avons commencé par rechercher dans notre base de données de journaux de voleurs les connexions ayant accès à AWS Management et à Google Cloud Consoles. Cela a donné 181,785 0.92 résultats, soit XNUMX % de notre échantillon de journaux. Par rapport à Google Cloud Console, les journaux contenant l'accès à la console AWS étaient considérablement surreprésentés, probablement en raison d'une adoption nettement plus élevée d'AWS.
Par rapport à d'autres infrastructures potentiellement compromises, AWS Management et Google Cloud Consoles représentent un degré de risque particulièrement élevé étant donné l'accès potentiel à l'infrastructure de base utilisée dans les applications internes et SaaS, ainsi qu'aux données stockées dans le stockage cloud.
- Nous avons trouvé 179,411 19.6 informations d'identification de la console AWS sur XNUMX millions de journaux échantillonnés.
- Nous avons trouvé 2,344 XNUMX identifiants Google Cloud dans le même échantillon
- La grande majorité de ces informations d'identification sont apparues dans des salles Telegram publiques et privées, avec un peu plus de 75 % apparaissant sur Telegram, 24 % sur le marché russe, et moins de 1% sur Genesis Market, reflétant fidèlement nos exemples de données
- Contrats commerciaux et applications financières
Une autre classification que nous avons utilisée concernait les applications financières d'entreprise telles que Intuit Quickbooks et DocuSign. Nous avons identifié 80,099 64,548 journaux de voleurs ayant accès à l’une de ces applications, la majorité étant des identifiants DocuSign (0.4 XNUMX). L’accès à ces applications a été retrouvé globalement dans XNUMX % des logs de voleurs.
- Les journaux contenant l'accès aux comptes QuickBooks et DocuSign étaient surreprésentés dans Telegram public et sur le marché russe par rapport à notre collection globale, ce qui représente potentiellement une variation dans la manière dont les acteurs malveillants de ces sources infectent les hôtes.
- Nous avons identifié 64,548 15,591 journaux avec des informations d'identification DocuSign et XNUMX XNUMX avec accès à QuickBooks.
- Applications CRM et données clients
La dernière catégorie que nous avons examinée concernait les journaux de vol donnant accès aux environnements CRM. Pour cet exercice, nous avons examiné les deux plus grands fournisseurs CRM, Salesforce et Hubspot, afin d'identifier les journaux contenant les informations d'identification de ces fournisseurs.
- Journaux contenant l'accès aux comptes Salesforce : 23,267 XNUMX
- Journaux contenant l'accès aux comptes Hubspot : 42,783 XNUMX
- Total des journaux contenant l'accès au CRM : 66,050 XNUMX
- Pourcentage de logs contenant des accès à un CRM : 0.03%
Les informations d'identification CRM étaient la deuxième forme d'identification la plus inhabituelle parmi les trois catégories que nous avons examinées, malgré le fait que les équipes de marketing, de ventes, d'opérations commerciales et de réussite client ont souvent accès aux environnements CRM.
Bonus : journaux de voleurs OpenAI et ChatGPT
Les entreprises et les consommateurs utilisent tous deux ChatGPT. Étant donné que dans de nombreux cas, les employés peuvent mettre des informations sensibles dans ChatGPT, nous avons pensé qu'il serait intéressant de voir combien d'informations d'identification compromises sont présentes dans les journaux de voleurs contenant « openai.com ».
Flare affiche le nombre de journaux de voleurs avec des informations d'identification OpenAI compromises
Nous avons trouvé plus de 200,000 180,000 journaux contenant des informations d’identification OpenAI, ce qui représente un autre vecteur important que les attaquants pourraient utiliser pour récolter des informations d’entreprise et personnelles. Plus de 2023 20,000 identifiants OpenAI ont été divulgués en 2022, contre seulement 4 XNUMX en XNUMX, démontrant l’intérêt croissant pour ChatGPT et GPT-XNUMX parmi les consommateurs et les entreprises.
Flare affiche le nombre de journaux de voleurs avec des informations d'identification OpenAI compromises
ChatGPT peut présenter un risque particulièrement élevé puisque les conversations sont enregistrées par défaut, exposant potentiellement la propriété intellectuelle sensible de l'entreprise et d'autres données si le compte était compromis.
Principales conclusions
Sur la base de l'échantillon limité de trois types de références d'entreprise que nous avons examinés, quelques conclusions peuvent être tirées, et certaines données peuvent être extrapolées avec des résultats moins fiables.
- Il est très probable qu'au moins 1.91 % des journaux de vol contiennent un accès d'entreprise, étant donné que nous avons trouvé 376,107 2 journaux (hors OpenAI) avec des informations d'identification indiquant une forte probabilité d'accéder aux ressources de l'entreprise. Si nous devions prendre en compte des dizaines d’autres ressources communes de l’entreprise, cela porterait probablement ce chiffre bien au-dessus de XNUMX %.
- Les journaux contenant un accès d'entreprise étaient surreprésentés sur le marché russe et sur les canaux VIP Telegram, ce qui indique que les méthodes utilisées par les attaquants pour récolter les journaux peuvent accidentellement ou intentionnellement cibler davantage les entreprises. De plus, les chaînes Telegram publiques peuvent délibérément publier des journaux de valeur inférieure, conservant ainsi les journaux de grande valeur pour les clients payants.
- Sur la base des preuves fournies par le forum du dark web Exploit.IN, nous estimons qu'il est très probable que les courtiers d'accès initial (IAB) utilisent les journaux de vol comme source principale pour prendre pied dans des environnements d'entreprise qui peuvent ensuite être vendus aux enchères. forums Web sombres de niveau supérieur.
Le graphique montre la proportion de journaux de vol contenant un accès d'entreprise pour chaque source et la collection totale
Ce graphique compare la proportion de journaux de vol avec accès d'entreprise à la proportion de journaux de vol représentant notre collection totale, montrant que les chaînes VIP Telegram ont beaucoup plus d'informations d'identification d'entreprise que les autres sources.
Journaux de niveau 2 : appareils infectés et opérations bancaires
Notre deuxième niveau de journaux est axé sur les services financiers et les applications bancaires. Il s’agit du deuxième type de journaux de vol le plus apprécié. Les acteurs malveillants peuvent utiliser ces informations d’identification pour accéder directement aux comptes financiers des consommateurs et acheter des cryptomonnaies ou virer des fonds.
Nous avons analysé 213 sociétés de services financiers pour déterminer quel pourcentage de journaux avec leurs domaines étaient inclus dans un journal de vol et en quoi le prix de ces journaux était différent de celui des journaux d'applications grand public.
En outre, la possibilité d'imiter l'empreinte digitale d'un navigateur ouvre également la porte aux acteurs malveillants pour potentiellement utiliser les données dans des attaques par relecture de session, en contournant les contrôles 2FA et MFA par usurpation d'identité. Cela est directement dû au fait que les utilisateurs cliquent sur la case « Mémoriser ce navigateur » qui enregistre un jeton de session active dans le navigateur.
Une barre latérale rapide sur le marché Genesis
Pour cette analyse, nous nous sommes concentrés sur les résultats de Genesis Market, un marché illicite du dark web spécialisé dans la vente de journaux provenant d’appareils infectés. Genesis est unique dans la mesure où son modèle de tarification varie en fonction des ressources disponibles dans le journal des voleurs, créant ainsi la possibilité de déterminer la valeur que les acteurs de la menace accordent à certaines ressources (identifiants) dans un journal.
Les détails IP de l’exposition et de l’adresse de Genesis Market en Russie
Le marché est conçu pour être convivial et comprend une solution simple qui permet même aux acteurs malveillants peu avertis de télécharger et d'imiter l'empreinte digitale du navigateur d'une victime. Genesis inclut la possibilité de trier les appareils par pays, de contacter un support client présumé 24h/7 et XNUMXj/XNUMX et fournit une documentation d'assistance complète. Genesis est un excellent exemple de la marchandisation croissante de la cybercriminalité, dans laquelle des acteurs de la menace hautement spécialisés jouent chacun un rôle individuel et spécialisé. Genesis s'est avéré particulièrement pertinent puisque les bûches sont vendues individuellement et que le prix varie en fonction des ressources auxquelles la bûche a accès.
Appareils infectés et informations d’identification des services financiers
Nous avons utilisé deux ensembles de données pour cette analyse. Nous avons utilisé le premier ensemble de données pour déterminer le prix des bûches sur Genesis Market et analysé 213 banques. Le deuxième ensemble de données s'est concentré sur les 50 plus grandes institutions de services financiers américaines et a analysé le nombre de journaux contenant des informations d'identification sur les comptes bancaires des consommateurs dans notre ensemble de données de 19.6 millions de journaux de voleurs.
Nous voulions déterminer comment la présence d'un identifiant de service financier modifie la valeur d'un journal de voleur. Pour effectuer cette analyse, nous avons sélectionné au hasard 213 banques de moyennes et grandes entreprises (plus de 5,000 XNUMX employés) aux États-Unis et identifié les journaux de voleurs qui ont été vendus au cours des deux dernières années afin d'identifier les cas où un appareil infecté avait accès à des informations d'identification bancaires. .
Il convient de noter que les appareils infectés concernés possédaient à la fois des informations d’identification bancaires personnelles et professionnelles, ce qui a entraîné certaines déviations dans notre analyse. Nous souhaitions également connaître la différence de prix entre les appareils infectés dotés d’informations d’identification d’entreprise et ceux qui n’en sont pas dotés.
Principales conclusions
- L'appareil infecté moyen en vente sur Genesis Market qui incluait une connexion à des services financiers était répertorié pour 112.27 $, comparé à $14.31 pour ceux qui n'en ont pas
- Sur notre échantillon de 213 institutions financières, nous avons constaté que 46 avait des informations d'identification d'employé ou de client à vendre dans le passé deux années.
- Le nombre médian de ressources (identifiants d'application uniques) par appareil sans connexions financières était de 35; avec des références financières, c'était 335.
- Plusieurs appareils infectés avaient été vendus avec des sous-domaines d'entreprise probables, ce qui indique que les acteurs malveillants auraient pu les exploiter pour lancer des attaques contre des banques spécifiques, représentant 1.4 % de notre échantillon. Les sous-domaines qui, selon nous, indiquent un accès probable aux entreprises incluent :
- am1.espace de travail virtuel
- sf.espace de travail virtuel
- live.cloud.app
- Les 50 plus grandes banques américaines disposent de 201,350 XNUMX journaux de vols associés aux connexions bancaires des consommateurs, ce qui expose ces comptes à des risques d'attaques de piratage. Compte tenu de la taille limitée de notre échantillon et du nombre de banques et de coopératives de crédit aux États-Unis, cela entraîne probablement une sous-estimation considérable du nombre de journaux contenant l'accès aux comptes financiers.
Journaux de niveau 3 : applications grand public et journaux des voleurs
Enfin, nous avons analysé les 50 domaines apparaissant le plus souvent dans notre échantillon de journaux de vol. Quelques éléments ressortent particulièrement. Premièrement, Google, Gmail, Facebook et Microsoft se classent tout en haut de la liste et sont généralement associés à des journaux de voleurs. De manière plus générale, presque toutes ces informations d'identification sont destinées à des applications grand public typiques.
50 principaux domaines apparaissant dans l'échantillon de journaux de vol et pourcentage de journaux dans lesquels ils sont apparus :
- Google
- gmail.com : 46.59 %
- comptes.google.com : 42.05 %
- google.com : 43.01 %
- Facebook
- facebook.com : 35.63 %
- www.facebook.com : 21.79 %
- m.facebook.com : 16.92 %
- Microsoft
- live.com : 34.14 %
- connexion.live.com : 30.31 %
- inscription.live.com : 10.98 %
- compte.live.com : 9.45 %
- hotmail.com : 13.77 %
- Outlook.com : 6.19 %
- Microsoftonline.com : 10.36 %
- connexion.microsoftonline.com : 10.20 %
- Amazon
- amazon.com : 13.74 %
- www.amazon.com : 9.64 %
- Netflix
- netflix.com : 17.13 %
- www.netflix.com : 12.00 %
- com.netflix.android : 7.42 %
- Roblox
- roblox.com : 15.17 %
- www.roblox.com : 11.46 %
- Instagram
- instagram.com : 17.94 %
- www.instagram.com : 12.41 %
- instagram.android : 7.62 %
- com.instagram.android : 7.62 %
- Steam
- steamPowered.com : 13.00 %
- magasin.steampowered.com : 9.70 %
- help.steampowered.com : 7.45 %
- Twitch
- Twitch.tv : 12.47 %
- www.twitch.tv : 9.01 %
- Paypal
- paypal.com : 12.10 %
- www.paypal.com : 9.18 %
- Epic Games
- epicgames.com : 10.32 %
- www.epicgames.com : 7.01 %
- Spotify
- Spotify.com : 9.11 %
- comptes.spotify.com : 6.73 %
- LinkedIn
- linkedin.com : 8.97 %
- Pomme
- apple.com : 8.71 %
- idmsa.apple.com : 6.68 %
- Zoom
- zoom.us : 7.09 %
- Blizzard Entertainment
- bataille.net : 6.03 %
Les résultats étaient un mélange d'applications de streaming, de musique, de jeux vidéo et de comptes de messagerie. Il y a probablement également des comptes d'entreprise ici (par exemple, comptes.google.com pourrait être utilisé à la fois pour des applications d'entreprise et personnelles). En fin de compte, la grande majorité des journaux publiés ne contiennent que l'accès à des applications grand public courantes, un petit nombre seulement étant utilisé pour vider des comptes bancaires, et un nombre encore plus petit étant utilisé pour accéder aux entreprises.
Barre latérale : skins Steam, Infostealers et CSGO
De nombreuses variantes d'infostealer ont des modules spécifiques conçus pour extraire les informations d'identification Steam stockées en dehors du navigateur. La raison? De nombreux joueurs du jeu populaire Counter Strike Global Offensive ont sur leurs comptes des « skins d’armes » d’une valeur de centaines ou de milliers de dollars qui peuvent être vendus ou échangés dans un but lucratif, créant ainsi une autre source de revenus lucrative pour les exploitants et les acheteurs de grumes. Cela peut être facilement résolu en garantissant que l'authentificateur Steam est activé pour chaque transaction.
Limites de la recherche
Il existe plusieurs limites à cette analyse qui méritent d’être soulignées.
- Nous n’avons pas recherché de manière approfondie les croisements entre plusieurs domaines d’accès d’entreprise présents dans le même journal. Par exemple, nous n'avons pas vérifié les journaux ayant accès à la console AWS pour voir s'ils avaient également accès à des informations d'identification pour Okta. Nous avons effectué quelques tests de base et avons constaté que le croisement était suffisamment faible pour que nous ne pensons pas qu'il ait un impact substantiel sur les résultats.
- Nous n'avons examiné que sept informations d'identification d'entreprise spécifiques qui pourraient être enregistrées dans un navigateur parmi des milliers, ce qui a considérablement limité nos données.
- Certaines informations d'identification, telles que celles de la console AWS, peuvent être utilisées par les étudiants ou pour des projets personnels. Nous pensons que la grande majorité indique probablement un accès d'entreprise, mais certains peuvent ne pas le faire.
Recommandations
Les journaux des voleurs représentent probablement l’un des moyens principaux et les plus simples pour les acteurs malveillants d’accéder aux environnements informatiques de l’entreprise. Nous recommandons aux organisations de mettre en œuvre les contrôles suivants pour prévenir, détecter et corriger les journaux de vol :
- Utilisez les gestionnaires de mots de passe : L’utilisation d’un système de gestion des mots de passe présente également une opportunité intéressante de prévenir les infections. Les politiques qui empêchent les utilisateurs d’enregistrer leurs informations d’identification dans le navigateur peuvent représenter dans de nombreux cas une énorme opportunité d’éliminer les risques.
- Exiger l'authentification multifacteur: Exiger une authentification multifacteur sur toutes les ressources de l'entreprise offre une couche de protection supplémentaire, tandis que les journaux de vol contiennent souvent des cookies de session, qui ne sont pas toujours suffisamment récents pour être utilisables.
- Former les utilisateurs : Les méthodes les plus courantes de distribution d'infostealer sont les téléchargements de logiciels piratés et les publicités malveillantes sur Google, Facebook ou Youtube. Une formation axée spécifiquement sur l’évitement des vecteurs les plus courants d’infostealer peut contribuer à réduire considérablement les risques. Les attaques de phishing sont une autre méthode d'infection possible, mais moins courante. Des attaques de phishing simulées avec des couches supplémentaires de formation pour les utilisateurs qui échouent constituent un moyen très utile de renforcer les défenses.
- Définissez des contrôles stricts sur l'accès aux ressources de l'entreprise à partir d'appareils personnels : De nombreuses infections par infostealer se produisent lorsqu'un employé enregistre les informations d'identification de l'entreprise dans le navigateur d'un ordinateur partagé avec sa famille ou ses amis. Créez des politiques strictes pour que les employés accèdent aux ressources de l'entreprise à partir d'appareils domestiques.
- Assurez-vous que votre fournisseur surveille les journaux sur les marchés Telegram, russe et Genesis : Telegram représente près de 75 % des journaux d'infostealer répartis sur les canaux publics et privés. Cela en fait l’une des sources les plus importantes pour surveiller les journaux susceptibles de contenir un accès d’entreprise.
Monitoring for Stealer Logs with Flare
La fusée Gestion de l'exposition aux menaces (TEM) solution empowers organizations to proactively detect, prioritize, and mitigate the types of exposures commonly exploited by threat actors. Our platform automatically scans the clear & dark web and prominent threat actor communities 24/7 to discover unknown events, prioritize risks, and deliver actionable intelligence you can use instantly to improve security.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.