fbpx

AsukaStealer succède à ObserverStealer : L’évolution remarquable des services MaaS dédiés au vol d’informations

Déplier le sommaire Replier le sommaire

Des chercheurs chez Cyble ont récemment découvert que le logiciel malveillant vendu comme service, précédemment connu sous le nom d’ObserverStealer, opère désormais sous une nouvelle identité. Rebaptisé AsukaStealer en 2024, ce programme malveillant a été repensé pour exploiter un modèle sophistiqué de logiciel malveillant comme service (MaaS).

AsukaStealer, qui s’inspire de l’ObserverStealer de 2023, se distingue par ses nouvelles fonctionnalités et capacités, tout en conservant les extensions, navigateurs et types de fichiers cibles similaires que les utilisateurs souhaitent collecter.

La promotion d’AsukaStealer, effectuée par ses créateurs, met en lumière toute une série de fonctionnalités, illustrées par de multiples captures d’écran du panneau de commande et de contrôle (C&C), démontrant ainsi sa puissance en tant que logiciel de vol de données.

Proposé à un tarif de 80 dollars pour un abonnement d’un mois, AsukaStealer facilite son utilisation grâce à des paramètres flexibles et une interface de panneau web.

Introduction à AsukaStealer : Un Infostealer sous forme de Malware-as-a-Service

Source : Cyble

Selon les Laboratoires de Recherche et d’Intelligence de Cyble (CRIL), le logiciel malveillant AsukaStealer a été commercialisé comme un MaaS sur un forum en langue russe. Il promet un arsenal complet de capacités conçues pour subtiliser discrètement des informations sensibles de victimes inattentives.

À lire Groupe Akira Ransomware : Plus de 250 entreprises vidées de 42 millions de dollars

Source : Cyble

Conçu principalement en C++, ce malware est doté d’un panneau basé sur le web (GUI) pour une configuration et un contrôle flexibles. Son principal objectif est la récolte massive de données sensibles depuis les systèmes ciblés.

AsukaStealer ne laisse rien au hasard dans sa quête d’informations de valeur: des identifiants de navigateur aux tokens Discord, en passant par les portefeuilles de cryptomonnaie et captures d’écran du bureau.

Source : Cyble

Identifié pour la première fois le 2 février 2024, AsukaStealer opère selon un modèle Malware-as-a-Service. Symantec a classifié cette menace de différentes manières: comme un Trojan d’infostealer basé sur des fichiers, une menace basée sur l’apprentissage automatique, et une menace web à travers des domaines/IP observés, couverts sous les catégories de sécurité dans tous les produits activant WebPulse.

Analyse du code d’AsukaStealer

Source : GitHub

L’analyse du fichier AsukaStealer_configuration.txt par Hackitude a révélé que ce script de configuration visait à télécharger ou récupérer des contenus, potentiellement pour Discord, différents navigateurs, ou des plateformes de jeux comme Steam. Il contient des chemins d’accès aux répertoires de données utilisateurs de divers navigateurs, des chemins d’installation de Discord, et même quelques répertoires liés à des jeux comme Steam et Battle.net. Cette configuration fait aussi référence à des fichiers et DLL spécifiques, indiquant une certaine manipulation ou interaction avec ces fichiers.

La dernière partie du code semblait concerner les chemins de fichiers et les motifs liés à des applications spécifiques et leurs emplacements de stockage de données, vraisemblablement dans un but d’extraction ou de manipulation.

La résurgence d’ObserverStealer : révélation du lien

Source : Cyble

Une observation plus approfondie a permis de constater une ressemblance frappante entre AsukaStealer et son prédécesseur, ObserverStealer, qui a été fermé par ses opérateurs le 19 juillet 2023.

Une recherche approfondie a révélé des caractéristiques, des méthodologies opérationnelles et même une infrastructure partagée entre les deux variantes de malwares. Ces découvertes ont conduit les experts en cybersécurité à supposer que les mêmes acteurs de menace étaient derrière ces deux campagnes, reflétant une volonté de continuellement affiner et propager leurs outils malveillants.

À lire Le groupe HelloGookie : le ransomware HelloKitty change de nom et sème la terreur

Les dynamiques opérationnelles d’AsukaStealer ont offert un aperçu précieux des modes opératoires des entreprises criminelles modernes, vantant sa versatilité au travers d’une myriade d’options de personnalisation et une intégration fluide avec les navigateurs et plateformes de messagerie populaires. En outre, l’utilisation stratégique d’images thématiques d’anime, en particulier en référençant le personnage Asuka Langley Soryu de Neon Genesis Evangelion, rappelle comment les acteurs de menace se sont engagés et inspirés des anime et manga japonais.

Ce rapport est basé sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement et il incombe à l’utilisateur de se fier à celles-ci. Hackitude n’assume aucune responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de ces informations.

Rate this post

Partagez votre avis

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.