Posté le août 16, 2023 à 5:01

UN LOGICIEL MALVEILLANT VOLEUR D’INFORMATIONS EXPOSE PLUS DE 100 000 FORUMS DE PIRATAGE INFORMATIQUE

Des chercheurs en sécurité ont détecté 120 000 systèmes compromis qui stockaient les identifiants de plusieurs forums de cybercriminalité. Selon les chercheurs, la plupart des ordinateurs infectés dans le cadre de cette campagne appartenaient à des hackers.

Un logiciel malveillant voleur d’informations compromet plus de 100 000 forums de piratage informatique

Les chercheurs en sécurité à l’origine de cette découverte ont noté que les mots de passe utilisés pour se connecter aux comptes des forums de piratage sont nettement plus robustes que ceux utilisés sur les sites web gouvernementaux. Cela montre que les hackers sont plus discrets sur le piratage que d’autres institutions, comme le gouvernement, désireuses de cacher les mêmes informations.

Les chercheurs à l’origine de cette découverte sont ceux de Hudson Rock, qui ont déclaré avoir analysé 100 forums de cybercriminalité. Les chercheurs ont également noté que certains acteurs de la menace avaient infiltré les ordinateurs utilisés par ces hackers et que, par conséquent, ils avaient infecté leurs appareils et volé des données de connexion.

Hudson Rock a noté que 100 000 comptes compromis lors de cette campagne appartenaient à des acteurs de la menace. Le nombre d’identifiants volés sur ces forums cybercriminels a dépassé les 140 000.

Les chercheurs ont recueilli des informations sur les identifiants volés à partir de fuites accessibles au public. Ils ont aussi utilisé des détails de journaux de vol d’informations provenant directement des hackers.

Les journaux de vol d’informations sont une forme de logiciel malveillant utilisé pour rechercher des emplacements spécifiques sur un ordinateur afin de récupérer des informations de connexion. L’une des cibles les plus courantes des logiciels malveillants était les navigateurs web, car ils sont dotés de fonctions de remplissage automatique. Les sites web contiennent également des attributs de stockage de mots de passe qui permettent aux hackers de compromettre plus facilement les plateformes et de mener une campagne malveillante.

Le directeur technique de Hudson Rock, Alon Gal, a indiqué que les hackers du monde entier infectaient les ordinateurs de manière opportuniste en promouvant des résultats pour de faux logiciels. Ces hackers utilisent en outre des tutoriels sur YouTube qui incitent les victimes à télécharger les logiciels infectés, compromettant ainsi leurs appareils.

Les hackers ciblés étaient probablement moins compétents

Parmi les victimes de cette campagne figurent d’autres hackers. Cependant, les hackers qui ont été piégés sont probablement ceux qui ont le moins de compétences. Ces hackers ont été infectés de la même manière que n’importe quel internaute crédule qui tente de prendre un raccourci lorsqu’il utilise le web mais qui, au lieu de cela, devient la proie d’acteurs malveillants.

Les chercheurs ont identifié les propriétaires des ordinateurs compromis comme étant des hackers en analysant les données contenues dans les journaux des voleurs d’informations. Ces données ont révélé l’identité réelle des personnes à l’origine de la campagne de piratage.

Les ordinateurs ciblés contenaient également des informations d’identification supplémentaires sur ces acteurs de la menace, telles que des adresses électroniques et des noms d’utilisateur. Ils contenaient également des données de remplissage automatique contenant les informations personnelles des hackers, notamment leurs adresses, noms et numéros de téléphone. Les ordinateurs compromis contenaient aussi des données système telles que des noms d’ordinateurs et des adresses IP.

Par ailleurs, dans un précédent rapport, les chercheurs de Hudson Rock ont noté qu’un groupe de hackers renommé, connu sous le nom de La_Citrix, qui vend des accès Citrix/VPN/RDP aux entreprises, a infecté leurs ordinateurs. Hudson Rock a toutefois précisé que ce piratage était accidentel.

En évaluant les données recueillies, Hudson Rock a noté que plus de 57 000 comptes compromis étaient liés à la communauté Nulled[.]to. Cette communauté est composée en grande partie de cybercriminels en devenir, ce qui montre que les hackers ont été ciblés parce qu’ils ne disposaient pas de compétences sophistiquées pour identifier et éviter la campagne de piratage.

Les utilisateurs ayant les mots de passe les plus forts sur ce site étaient ceux de BreachForums. Selon les chercheurs, plus de 40 % des identifiants comportaient au moins dix caractères et quatre types de caractères différents.

Certains hackers ont aussi utilisé des mots de passe faibles, comme une chaîne de chiffres consécutifs. Ces hackers avaient également un faible niveau de participation à la communauté. Ces hackers semblent utiliser leur compte uniquement pour suivre les discussions, vérifier les données disponibles à la vente ou être informés lorsque quelque chose d’important se produit.

Les chercheurs ont en outre indiqué que les informations d’identification utilisées dans les forums de cybercriminalité étaient nettement plus solides que les données de connexion aux sites web gouvernementaux. Toutefois, la différence entre la force des mots de passe n’était pas très importante.

Hudson Rock a ajouté que la majorité des infections semblaient provenir de trois voleurs d’informations. Ces derniers, à savoir Azorult, Raccoon et RedLine, sont très populaires auprès des acteurs de menaces.

Un grand nombre de piratages d’accès initiaux commencent par un logiciel malveillant voleur d’informations. Ce logiciel malveillant rassemble généralement toutes les données nécessaires à un acteur de la menace pour se faire passer pour un utilisateur légitime. Ces campagnes de piratage sont habituellement connues sous le nom d’empreintes de système et servent à compromettre les systèmes ciblés.