Les chercheurs de BlackFog affirment que l’outil SaaS réduit les obstacles aux campagnes de ransomware de bout en bout.
Il est déjà assez regrettable que les acteurs malveillants exploitent l’IA pour leurs attaques, mais ils peuvent désormais également accéder à un nouveau cheval de Troie d’accès à distance (RAT) qui facilite le lancement d’attaques de vol de données et de ransomwares sur les ordinateurs Windows à partir d’un seul volet de gestion.
L’outil s’appelle Steaelite et, selon les chercheurs de BlackFog, il est annoncé et disponible pour les clients sur les sites clandestins de cybercriminalité depuis novembre dernier. De plus, il existe une vidéo promotionnelle sur YouTube montrant ses capacités.
L’outil pourrait réduire les obstacles à l’exécution de campagnes de ransomware sophistiquées et de bout en bout.
Traditionnellement, a-t-il expliqué, ces capacités occupent différentes parties de la chaîne d’outils de la cybercriminalité, mais Steaelite unifie les fonctions, offrant aux opérateurs un accès persistant, une surveillance et un vol de données à partir d’un seul tableau de bord basé sur un navigateur. Et une fois le module ransomware terminé, « les opérateurs pourront d’abord exfiltrer les données et ensuite les chiffrer, permettant ainsi une double extorsion sans changer d’outil, ce qui est assez rare ».
C’est suffisamment de pouvoir « pour compromettre complètement une entreprise », a-t-il noté. « Les dégâts augmentent avec l’accès de la victime, de sorte qu’un employé infecté disposant d’informations d’identification privilégiées pourrait remettre les clés de l’environnement tout entier. »
Il y a un peu plus de dix ans, un chercheur a dénombré plus de 250 RAT, et les acteurs de la menace continuent d’en créer de nouveaux pour échapper aux défenses en évolution ; aujourd’hui, Malwarebytes répertorie les RAT actuellement les plus connus comme SubSeven, Back Orifice, ProRat, Turkojan et Poison-Ivy.
Et plus tôt ce mois-ci, des chercheurs en sécurité de Point Wild ont dévoilé une autre campagne de malware Windows qui utilise une chaîne d’infection en plusieurs étapes pour établir un accès persistant en mémoire sur les systèmes compromis et voler des données sensibles.
Les RAT se propagent de nombreuses manières, notamment par les employés qui cliquent sur des leurres de phishing et par les acteurs malveillants qui incitent le personnel à installer ce qu’on leur dit être un logiciel nécessaire. Pour cette raison, la formation à la sensibilisation à la sécurité constitue une défense primordiale.
Ce que Steaelite comprend
La boîte à outils Steaelite basée sur un navigateur comprend des modules pour l’exécution de code à distance, la gestion de fichiers, la diffusion en direct, l’accès par webcam et microphone, la gestion des processus, la surveillance du presse-papiers, la récupération de mot de passe, l’énumération des programmes installés, le suivi de l’emplacement, l’exécution de fichiers arbitraires, l’ouverture d’URL, les attaques DDoS et la compilation de charges utiles VB.NET.
De plus, un panneau « outils avancés » permet le déploiement de ransomwares, l’accès RDP (gestion de bureau à distance) caché, la possibilité de désactiver Windows Defender et la gestion des exclusions, ainsi que l’installation de persistance.
La capacité de streaming d’écran en temps réel affiche le bureau de la victime avec un indicateur « LIVE STREAM ». « Combiné aux modules webcam et microphone, cela transforme Steaelite en une plate-forme de surveillance persistante aussi longtemps que la victime reste connectée », indique le rapport.
Le panneau « Outils de développement » ajoute l’enregistrement de frappe, le chat entre client et la victime, la recherche de fichiers, la propagation USB, la suppression des robots (pour supprimer les logiciels malveillants concurrents), l’envoi de boîtes de message, la modification du fond d’écran, le contournement de l’UAC et un clipper qui échange les adresses de portefeuille de crypto-monnaie avec une adresse contrôlée par l’attaquant lors des opérations de copier-coller.
Habituellement, la double extorsion nécessite des outils ou des étapes distinctes, explique BlackFog : un malware pour l’accès initial et l’exfiltration, puis une charge utile de ransomware distincte pour le chiffrement, impliquant souvent une coordination entre les courtiers d’accès initial et les affiliés du ransomware.
En fait, indique le rapport, la collecte automatisée des informations d’identification signifie que le vol de données commence avant même que l’opérateur criminel n’interagisse avec le tableau de bord.
Le module de ransomware Android sur la feuille de route de l’outil va encore plus loin, indique le rapport. « Si le développeur fournit (le module ransomware), une seule licence Steaelite pourrait couvrir à la fois les points de terminaison Windows de l’entreprise et les appareils mobiles que les employés utilisent pour l’authentification et la messagerie. »
Steaelite est un malware en tant que service. Le vendeur propose 200 $ par mois pour l’accès, ou 500 $ pour trois mois, les acheteurs contactant le vendeur via Telegram pour organiser le paiement et recevoir l’accès.
Les défenseurs devraient se concentrer sur la prévention de l’exfiltration de données plutôt que sur la simple défense du périmètre, a déclaré Williams. « Des outils comme Steaelite supposent qu’ils dépasseront les défenses initiales et donneront la priorité à la diffusion rapide des données », a-t-il déclaré. « Il est plus fiable d’arrêter l’exfiltration au moment où elle se produit que d’essayer de prévenir tous les vecteurs d’infection initiaux possibles. »
