Les bases des malwares : objectif, dérober des informations

Comme l’article précédent de cette série l’a expliqué, les malwares sont créés et utilisés par des pirates animés de motivations et d’objectifs et, à ce titre, on peut dire que les malwares eux-mêmes servent des objectifs. Cet article est le premier d’une série de cinq consacrée aux objectifs des malwares, objectifs envisagés en relation avec les noms courants des différents types de malwares utilisés dans le secteur de la cybersécurité.

Logiciels espions

Les spywares ou logiciels espions, comme leur nom l’indique, visent à surveiller un utilisateur à son insu et/ou à dérober ses informations. Les méthodes utilisées varient en fonction des objectifs qui sont propres au pirate et peuvent aller d’un vol de données unique à une activité illicite répétée dans la durée. De la même façon, la sophistication des malwares et des techniques utilisées peut varier considérablement en fonction des ressources dont dispose le pirate, de son niveau de compétence et de la nature de la campagne (une attaque sophistiquée et ciblée vs. des méthodes aléatoires à grande échelle).

Infostealers (voleurs d'informations)

Les « infostealers » ou voleurs d’informations dérobent des informations sur l’appareil de la victime. Notez que le terme est un peu fourre-tout et peut désigner différents types de malwares. Les infostealers ciblent spécifiquement les identifiants et les mots de passe enregistrés sur un appareil (mots de passe stockés par les navigateurs web, mots de passe Wi-Fi et autres mots de passe et/ou hachages de mots de passe susceptibles d’être enregistrés). Ils sont souvent vendus sous forme de listes combinées (listes regroupant un grand nombre de combinaisons de type nom d’utilisateur/e-mail et mot de passe) ou peuvent être utilisés par le pirate sur le ou les réseaux auxquels l’appareil se connecte. La nature des identifiants et l’accès qu’ils fournissent varient considérablement et influencent la manière dont ils sont vendus ou utilisés. Compte tenu du problème endémique de la réutilisation des mots de passe, les identifiants volés peuvent parfois donner accès à bien plus que ce à quoi ils étaient destinés.

Bankers

Les « bankers » cherchent à voler des informations bancaires et financières. Cela peut inclure les identifiants utilisés pour accéder aux plateformes bancaires en ligne, aux portefeuilles de cryptomonnaies (si le portefeuille de cryptomonnaie est la seule cible du malware, celui-ci est plutôt considéré comme un « cryptojacker ») et potentiellement d’autres informations financières. Quelles que soient les tactiques utilisées par le malware, l’objectif des bankers est financier. Les fonds peuvent être volés par un pirate directement ou par le biais d’une usurpation d’identité, l’attaque se basant sur les informations obtenues par le malware.

Keyloggers

Les « keyloggers » ou enregistreurs de frappe, comme leur nom l’indique, enregistrent les frappes au clavier et les consignent dans un fichier qui est ensuite transmis au pirate. Les informations personnelles et/ou les identifiants saisis par un utilisateur peuvent ainsi être volés. Cette méthode contourne les systèmes de chiffrement utilisés pour protéger les identifiants stockés, comme les gestionnaires de mots de passe et les navigateurs. Bien que les données recueillies soient souvent hors contexte (elles n’indiquent pas à quels sites les identifiants permettent d’accéder, sauf si le nom du site est préalablement saisi dans le navigateur), cette méthode contourne certains niveaux de sécurité offerts par les logiciels qui enregistrent les mots de passe, qu’il s’agisse de logiciels inclus aux navigateurs ou de gestionnaires de mots de passe à proprement parler. Notez que les keyloggers peuvent être combinés à des captures d’écran périodiques pour ajouter du contexte. Point négatif pour les pirates : la transmission régulière de données sur une longue période peut permettre de repérer et de supprimer les keyloggers, pour peu qu’une surveillance du trafic ait été mise en place.

Un marché pour les données volées

Les données sensibles et les identifiants se retrouvent souvent sur des marketplaces du Dark Web. Selon le type, elles peuvent être vendues quelques dollars (pour des identifiants de médias sociaux), ou jusqu’à un millier de dollars ou plus pour des lots complets d’identités volées ou les identifiants de connexion d’administrateurs réseau. Bien que les malwares ne soient pas l’unique moyen de collecter ce type de données, ils sont très répandus, et les capacités de vol d’informations sont souvent ajoutées à des malwares qui visent d’autres objectifs (bots ou ransomwares), ceci compte tenu de l’ampleur du marché des données. Les spywares peuvent également viser des données de niche, notamment des communications permettant potentiellement d’extorquer ou d’embarrasser une entreprise, ou des informations technologiques propriétaires à des fins d’espionnage industriel.

Étant donné la quantité de données existantes et les résultats qui peuvent être obtenus pour qui dispose des bonnes données, les différents types de spywares peuvent entraîner des conséquences potentiellement dévastatrices. Des violations de réseau et de données au vol d’argent en passant par l’usurpation d’identité, ces attaques ont un impact délétère sur les entreprises et les particuliers. Quasiment toutes les informations volées (et même celles trouvées sur des sites web publics comme les réseaux sociaux) peuvent être utilisées par les pirates à des fins malveillantes, notamment dans le cadre d’attaques par social engineering.

Les autres articles de la série Les bases des malwares sont disponibles ici.