L’ACCÈS DES OPÉRATEURS DE MARS STEALER À LEURS SERVEURS BLOQUÉ

Posté le novembre 23, 2022 à 5:11

L’ACCÈS DES OPÉRATEURS DE MARS STEALER À LEURS SERVEURS BLOQUÉ

Des chercheurs ont révélé qu’une vulnérabilité de codage bloque l’accès des opérateurs du logiciel malveillant Mars Stealer à leurs serveurs et libère leurs victimes.

Mars Stealer permet à leurs opérateurs d’avoir accès à l’infrastructure pour mener à bien leurs attaques. Le logiciel malveillant voleur de données est généralement diffusé sous forme de publicités malveillantes et de pièces jointes à des e-mails, et partagé avec des fichiers torrents sur des plateformes de partage de fichiers. Après avoir infecté l’ordinateur de la victime, le logiciel malveillant vole les codes à deux facteurs et les mots de passe des extensions de son navigateur. Il tente également de dérober le contenu des portefeuilles de cryptomonnaies des victimes. En outre, le logiciel malveillant peut transmettre d’autres charges utiles malveillantes telles que des ransomwares.

Plus tôt cette année, des chercheurs en sécurité ont découvert une copie infiltrée ou craquée du logiciel malveillant Mars Stealer qui a été mise en ligne. Celui-ci permet à quiconque de construire et de lancer son propre Mars Stealer C2, bien que sa documentation soit incomplète. Cela signifie que les acteurs qui voulaient utiliser le logiciel malveillant ont configuré leurs serveurs de manière à exposer sans le savoir les fichiers enregistrés.

La vulnérabilité peut permettre aux acteurs d’infecter leurs systèmes sans le savoir

Dans d’autres cas, l’acteur de la menace s’infecterait sans le savoir avec un logiciel malveillant et laisserait ses données privées exposées. Mars Stealer s’est fait connaître au mois de mars de cette année, après que Raccoon Stealer, un autre logiciel malveillant de vol de données très populaire, ait été supprimé.

Après le démantèlement, les campagnes de Mars Stealer se sont multipliées. Il s’agit notamment de la campagne à grande échelle d’avril et d’un ciblage massif de l’Ukraine quelques semaines après l’invasion de la Russie.

Les chercheurs en sécurité ont déclaré avoir découvert plus de 40 serveurs hébergeant Mars Stealer, et d’autres pourraient être découverts dans les semaines à venir.

La société Buguard, spécialisée dans la cybersécurité et les tests d’intrusion, a déclaré que la faille qu’elle a découverte dans le logiciel malveillant qui a fait l’objet de la fuite lui permet d’infiltrer à distance et d’endommager les serveurs de commande et de contrôle de Mars Stealer, qui sont utilisés pour voler les données de l’ordinateur ciblé.

Une fois exploitée, la faille supprime toutes les sessions actives

Le directeur de la technologie de la société, Youssef Mohamed, a commenté cette attaque. Il a déclaré qu’une fois la faille exploitée, elle supprime les journaux du serveur Mars Stealer et toutes les sessions actives qui sont encore liées aux systèmes des victimes. Ensuite, elle brouille le mot de passe du tableau de bord pour empêcher les opérateurs de se reconnecter.

Selon Mohamed, cela signifie que l’opérateur perd complètement l’accès aux données piratées, et devrait repartir de zéro pour lancer des attaques sur les cibles.

Le « hacking back » est le processus qui consiste à cibler activement les serveurs des mauvais acteurs. Il s’agit d’une méthode ancienne et très discutée, tant pour ses capacités que pour ses failles. Cette pratique, bien qu’effectuée par certaines organisations privées, est uniquement réservée aux agences gouvernementales des États-Unis. Celles-ci utilisent généralement la méthode du « hacking » pour pénétrer dans les systèmes des acteurs de la menace qui ont précédemment exploité les serveurs des victimes.

Cinq Mars Stealers ont été bloqués

Un des grands principes de la recherche de sécurité de bonne foi est d’enquêter mais de ne pas modifier un élément trouvé en ligne s’il appartient à quelqu’un d’autre.

Toutefois, alors que la principale pratique consiste à demander aux registres de domaines et aux hébergeurs de sites web de fermer les sites malveillants, les acteurs de la menace lancent toujours leurs opérations dans d’autres pays qui sont indulgents avec leurs lois sur la sécurité en ligne. Là, ils peuvent s’installer et mener de graves activités malveillantes en toute impunité. Ils peuvent utiliser diverses formes de réseaux VPN pour masquer leurs adresses IP d’origine, ce qui complique la tâche des chercheurs en sécurité lorsqu’ils veulent découvrir leur emplacement.

Mohamed a déclaré que son équipe de sécurité a découvert et bloqué cinq serveurs Mars Stealer jusqu’à présent, mais qu’il en existe encore beaucoup. Elle s’efforce toujours d’en découvrir d’autres afin de limiter la pénétration du voleur d’informations. Quatre des serveurs de logiciels malveillants découverts ont disparu en ligne et ne sont plus accessibles.

Mais l’équipe de sécurité n’a pas publié la vulnérabilité car elle ne veut pas donner aux acteurs de la menace une raison de l’explorer. Dans la plupart des découvertes de vulnérabilités, l’équipe de sécurité garde généralement ses conclusions secrètes jusqu’à ce qu’un correctif adéquat soit publié par l’éditeur du logiciel.

Buguard a indiqué que les détails de la faille seront partagés avec les autorités afin de les aider à arrêter d’autres opérateurs de Mars Stealer et à prévenir d’autres expositions.

La faille existe également dans Erbium, un autre logiciel malveillant voleur d’informations qui fonctionne selon le même modèle de logiciel malveillant en tant que service que Mars Stealer. Les chercheurs en sécurité ont également noté que la vulnérabilité pourrait être habilitée et exploitée par des acteurs de la menace ciblant des institutions privées et des agences gouvernementales.

Summary
L'ACCÈS DES OPÉRATEURS DE MARS STEALER À LEURS SERVEURS BLOQUÉ
Article Name
L'ACCÈS DES OPÉRATEURS DE MARS STEALER À LEURS SERVEURS BLOQUÉ
Description
Des chercheurs ont révélé qu'une vulnérabilité de codage bloque l'accès des opérateurs du logiciel malveillant Mars Stealer à leurs serveurs et libère leurs victimes.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading