Infostealers : une menace croissante

L’un des signes de la maturité croissante de l’économie cybercriminelle est l’utilisation de plus en plus fréquente d’infostealers, une catégorie de malware qui, comme leur nom l’indique, sont conçus pour collecter et exfiltrer des informations de votre système. 

Le malware en tant que service

Les logiciels malveillants de type infostealer sont généralement assez sophistiqués et complexes. Mais, comme pour de nombreux types de ransomwares, presque tout le monde peut mettre la main dessus et les utiliser. Il suffit d’un abonnement à un fournisseur de malware en tant que service (MaaS), qui peut coûter à peine 200 dollars par mois ou 1 000 dollars pour un abonnement à vie. 

Ces fournisseurs de services font de plus en plus de publicité sur le Dark Web, proposant non seulement des malwares, mais également une assistance technique et des outils supplémentaires tels que des serveurs de commande et de contrôle dédiés que les abonnés peuvent utiliser pour exfiltrer les données acquises par l’infostealer.

Et ils deviennent de plus en plus populaires.

Revolver Rabbit place la barre plus haut

Autre signe de l’ampleur du déploiement des infostealers et de leur sophistication croissante, Bleeping Computer a annoncé en juillet que le gang de cybercriminels connu sous le nom de Revolver Rabbit avait enregistré 500 000 noms de domaine dans le but de les utiliser pour mener des campagnes de vol d’informations. 

Et pour y parvenir, ils utilisent des algorithmes de génération de domaines enregistrés (RDGA).

Mais qu’est-ce que cela signifie exactement ? Eh bien, les malwares traditionnels ont été créés avec un ou plusieurs noms de domaine codés en dur pour être utilisés pour la commande et le contrôle (C2) et pour l’exfiltration de données volées. Le problème avec cette stratégie était que les chercheurs en sécurité découvraient rapidement quels étaient ces noms de domaine et les ajoutaient ensuite aux listes de blocage, empêchant ainsi le malware de communiquer avec son serveur de commande et contrôle, le rendant ainsi inutilisable.

Les acteurs malveillants ont réagi en remplaçant les noms de domaine codés en dur dans le malware par des algorithmes de génération de domaines (DGA). Ces algorithmes peuvent générer de manière semi-aléatoire un grand nombre de noms de domaine, dont la grande majorité ne sont pas des domaines réellement enregistrés. Le malware peut donc désormais contourner les listes de blocage en générant de nouveaux noms de domaines alternatifs pour remplacer ceux qui sont bloqués. 

Mais comme ces domaines n’étaient pour la plupart pas enregistrés, le malware envoyait de nombreuses requêtes DNS qui renvoyaient un message d’erreur « domaine inexistant » (NXDOMAIN). Cela permettait ainsi au personnel de sécurité de détecter facilement une compromission grâce au grand nombre d'erreurs NXDOMAIN renvoyées. 

En outre, en étudiant les noms de domaine non enregistrés à l’origine des erreurs NXDOMAIN, les chercheurs en sécurité pouvaient également trouver le DGA utilisé par rétro-ingénierie et bloquer de manière proactive tous les noms de domaine potentiels. Ils pouvaient également localiser les quelques noms de domaine enregistrés et les bloquer.

Les RDGA poussent le concept encore plus loin, en générant uniquement des noms de domaine enregistrés. Cela résout le problème des trop nombreuses erreurs NXDOMAIN et permet aux acteurs malveillants d’enregistrer très rapidement de nombreux noms de domaine, qu’ils peuvent conserver au fil du temps jusqu’à les utiliser dans le cadre d’une campagne de malware.

Une question de nombres

Il y a encore un an, le fait qu’un auteur de menaces DNS enregistre des dizaines de milliers de noms de domaine pour des attaques de malware était considéré comme un très gros investissement en ressources. Ainsi, la révélation que Revolver Rabbit détient un demi-million de noms de domaine – ce qui représente un investissement financier conséquent – indique à quel point l’industrie MaaS se développe rapidement. 

Protégez-vous

Les infostealers ne peuvent pas vous faire de mal tant qu’ils ne se sont pas introduits dans votre système. Il est donc important de faire tout ce qui est possible pour empêcher les malwares de pénétrer dans votre système.

Tout d’abord, assurez-vous que vos utilisateurs sont bien formés pour identifier les e-mails, les publicités, les sites Web suspects, etc. Les infostealers sont très souvent diffusés par des e-mails de phishing et par des sites Web qui proposent des coupons, des films gratuits, des tirages au sort, etc. Une autre tactique courante consiste à diffuser des publicités trompeuses qui vous font croire que vous téléchargez un logiciel utile, comme un éditeur de vidéo gratuit. Un produit de formation moderne en matière de sensibilisation à la sécurité, tel que la formation de sensibilisation à la sécurité de Barracuda, est très utile pour réduire cette vulnérabilité.

Comme l’a souligné Christine Barry dans un article révélateur publié l’année dernière, une autre source d’infection courante est la vaste armée de bots qui existe actuellement et qui sonde votre réseau à la recherche d’applications et de dispositifs mal configurés, non corrigés ou non gérés qui peuvent être exploités pour s’implanter. Il est donc également très important, du point de vue de la sécurité, de veiller à ce que tous vos appareils et logiciels soient à jour et correctement configurés. 

Les systèmes avancés de protection des applications Web et des API (WAAP) tels que Barracuda Application Protection peuvent automatiser et accélérer ce processus de manière significative, tout en détectant et en bloquant les robots malveillants qui cherchent à sonder votre réseau à la recherche de vulnérabilités.