Déplier le sommaire Replier le sommaire
Des chercheurs chez Cyble ont récemment découvert que le logiciel malveillant vendu comme service, précédemment connu sous le nom d’ObserverStealer, opère désormais sous une nouvelle identité. Rebaptisé AsukaStealer en 2024, ce programme malveillant a été repensé pour exploiter un modèle sophistiqué de logiciel malveillant comme service (MaaS).
AsukaStealer, qui s’inspire de l’ObserverStealer de 2023, se distingue par ses nouvelles fonctionnalités et capacités, tout en conservant les extensions, navigateurs et types de fichiers cibles similaires que les utilisateurs souhaitent collecter.
La promotion d’AsukaStealer, effectuée par ses créateurs, met en lumière toute une série de fonctionnalités, illustrées par de multiples captures d’écran du panneau de commande et de contrôle (C&C), démontrant ainsi sa puissance en tant que logiciel de vol de données.
Proposé à un tarif de 80 dollars pour un abonnement d’un mois, AsukaStealer facilite son utilisation grâce à des paramètres flexibles et une interface de panneau web.
Introduction à AsukaStealer : Un Infostealer sous forme de Malware-as-a-Service
Selon les Laboratoires de Recherche et d’Intelligence de Cyble (CRIL), le logiciel malveillant AsukaStealer a été commercialisé comme un MaaS sur un forum en langue russe. Il promet un arsenal complet de capacités conçues pour subtiliser discrètement des informations sensibles de victimes inattentives.
Conçu principalement en C++, ce malware est doté d’un panneau basé sur le web (GUI) pour une configuration et un contrôle flexibles. Son principal objectif est la récolte massive de données sensibles depuis les systèmes ciblés.
AsukaStealer ne laisse rien au hasard dans sa quête d’informations de valeur: des identifiants de navigateur aux tokens Discord, en passant par les portefeuilles de cryptomonnaie et captures d’écran du bureau.
Identifié pour la première fois le 2 février 2024, AsukaStealer opère selon un modèle Malware-as-a-Service. Symantec a classifié cette menace de différentes manières: comme un Trojan d’infostealer basé sur des fichiers, une menace basée sur l’apprentissage automatique, et une menace web à travers des domaines/IP observés, couverts sous les catégories de sécurité dans tous les produits activant WebPulse.
Analyse du code d’AsukaStealer
L’analyse du fichier AsukaStealer_configuration.txt par Hackitude a révélé que ce script de configuration visait à télécharger ou récupérer des contenus, potentiellement pour Discord, différents navigateurs, ou des plateformes de jeux comme Steam. Il contient des chemins d’accès aux répertoires de données utilisateurs de divers navigateurs, des chemins d’installation de Discord, et même quelques répertoires liés à des jeux comme Steam et Battle.net. Cette configuration fait aussi référence à des fichiers et DLL spécifiques, indiquant une certaine manipulation ou interaction avec ces fichiers.
La dernière partie du code semblait concerner les chemins de fichiers et les motifs liés à des applications spécifiques et leurs emplacements de stockage de données, vraisemblablement dans un but d’extraction ou de manipulation.
La résurgence d’ObserverStealer : révélation du lien
Une observation plus approfondie a permis de constater une ressemblance frappante entre AsukaStealer et son prédécesseur, ObserverStealer, qui a été fermé par ses opérateurs le 19 juillet 2023.
Une recherche approfondie a révélé des caractéristiques, des méthodologies opérationnelles et même une infrastructure partagée entre les deux variantes de malwares. Ces découvertes ont conduit les experts en cybersécurité à supposer que les mêmes acteurs de menace étaient derrière ces deux campagnes, reflétant une volonté de continuellement affiner et propager leurs outils malveillants.
À lire NordVPN : Un VPN puissant mais dont le prix fait hésiter
Les dynamiques opérationnelles d’AsukaStealer ont offert un aperçu précieux des modes opératoires des entreprises criminelles modernes, vantant sa versatilité au travers d’une myriade d’options de personnalisation et une intégration fluide avec les navigateurs et plateformes de messagerie populaires. En outre, l’utilisation stratégique d’images thématiques d’anime, en particulier en référençant le personnage Asuka Langley Soryu de Neon Genesis Evangelion, rappelle comment les acteurs de menace se sont engagés et inspirés des anime et manga japonais.
Ce rapport est basé sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement et il incombe à l’utilisateur de se fier à celles-ci. Hackitude n’assume aucune responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de ces informations.
