Les statistiques de Kaspersky confirment cette soif de données volées : au premier semestre de 2019, plus de 940 000 utilisateurs ont été attaqués par des logiciels malveillants conçus pour collecter diverses données sur les ordinateurs. À titre de comparaison, au cours de la même période en 2018, un peu moins de 600 000 utilisateurs des produits Kaspersky ont été attaqués. La menace est appelée « Stealer Trojan » ou PSW (Password Stealing Ware), un type de malware conçu pour voler des mots de passe, des fichiers et d’autres données sur les ordinateurs des victimes.
Au cours des six derniers mois, Kaspersky a détecté une activité intense de ces Stealer en Europe et en Asie. Le plus souvent, les programmes malveillants ont ciblé des utilisateurs en Russie, en Inde, au Brésil, en Allemagne et aux États-Unis.
AZORult est l'un des Stealer Trojan les plus répandus. Il a été détecté sur les ordinateurs de plus de 25% de tous les utilisateurs qui ont rencontré un logiciel malveillant de ce type au cours de la période considérée.
Selon l'analyse de Kaspersky, un Stealer Trojan moyen peut :
- Recueillir des données des navigateurs:
- Mots de passe
- Remplissage automatique des données
- Cartes de paiement
- Cookies
- Copier les fichiers:
- Tous les fichiers d'un répertoire spécifique (tel que le bureau)
- Fichiers avec une extension spécifique (TXT, DOCX)
- Fichiers pour des applications spécifiques (portefeuilles de crypto-monnaie, fichiers de session de messagerie)
- Transférer les données du système:
- Version du système d'exploitation
- Nom d'utilisateur
- adresse IP
- Et beaucoup plus
- Voler des comptes de diverses applications (clients FTP, VPN, RDP, etc.)
- Prendre des captures d'écran
- Télécharger des fichiers à partir d'Internet
Les spécimens les plus multifonctionnels (par exemple Azorult) prennent une « image » complète de l’ordinateur et des données de la victime:
- Informations système complètes (liste des programmes installés, processus en cours, nom d'utilisateur / ordinateur, version du système)
- Spécification du matériel (carte vidéo, CPU, moniteur)
- Mots de passe sauvegardés, cartes de paiement, cookies, historique de navigation pour presque tous les navigateurs connus (plus de 30)
- Mots de passe pour les clients mail / FTP / IM
- Fichiers de messagerie instantanée (Skype, Telegram)
- Fichiers du client de jeu Steam
- Fichiers pour plus de 30 programmes de crypto-monnaie
- Captures d'écran
- Fichiers spécifiés par "masque" (par exemple, le masque %USERPROFILE%\Desktop\*.txt,*.jpg,*.png,*.zip,*.Rar,*.doc signifie que tous les fichiers portant les extensions spécifiées sont le bureau de la victime doit être envoyé à l’opérateur du logiciel malveillant).
Pourquoi collecter des fichiers texte ou, plus curieusement encore, tous les fichiers du bureau ? Le fait est que les fichiers les plus utiles à l'utilisateur y sont généralement stockés. Et parmi eux se trouve peut-être un fichier texte contenant des mots de passe fréquemment utilisés. Ou, par exemple, des documents de travail contenant les données confidentielles de l’employeur de la victime
Comment les mots de passe sont volés des navigateurs ?
Lorsqu'il s'agit de voler des données de navigateur (mots de passe, détails de carte bancaire, données de remplissage automatique), tous les Stealer Trojan agissent de la même manière.
Google Chrome et navigateurs basés sur Chromium
Dans les navigateurs basés sur Chromium, les mots de passe enregistrés sont protégés par DPAPI (Data Protection API). La mémoire du navigateur est utilisée à cette fin, sous la forme d’une base de données SQLite. Seul l'utilisateur du système d'exploitation qui a créé les mots de passe peut les récupérer à partir de la base de données, et uniquement sur l'ordinateur sur lequel ils ont été chiffrés. Ceci est assuré par une implémentation particulière de chiffrement dans laquelle la clé de chiffrement comprend des informations sur l'ordinateur et l'utilisateur du système sous une certaine forme. Ces données ne sont pas disponibles pour les utilisateurs réguliers en dehors du navigateur sans utilitaires spéciaux.
Mais tout cela ne freine pas un Stealer Trojan qui a déjà pénétré dans l’ordinateur, car il dispose des droits d’utilisateur du système d’exploitation susmentionnés. Dans ce cas, le processus d'extraction de toutes les données sauvegardées dans le navigateur est le suivant :
- Récupération du fichier de base de données. Les navigateurs basé sur Chromium stockent ce fichier selon un chemin standard et non modifiable. Afin d'éviter des problèmes d'accès (par exemple, si le navigateur l'utilise), les Stealer Trojan peuvent copier le fichier dans un autre emplacement ou mettre fin à tous les processus du navigateur.
- Lecture de données chiffrées. Comme déjà mentionné, les navigateurs utilisent une base de données SQLite à partir de laquelle les données peuvent être lues à l'aide d'outils standard.
- Déchiffrement des données. Conformément au principe de protection des données décrit ci-dessus, voler le fichier de base de données lui-même n’aide pas à disposer des données car le déchiffrement doit avoir lieu sur l’ordinateur de l’utilisateur. Mais ce n’est pas un problème, car le déchiffrement est effectué directement sur l’ordinateur de la victime via un appel à la fonction CryptUnprotectData. Les cybercriminels n'ont pas besoin de données supplémentaires - DPAPI s'occupe de tout, puisque l'appel a été passé pour le compte de l'utilisateur du système. En conséquence, la fonction renvoie les mots de passe sous une forme lisible «propre».
Échantillon de code de Stealer Trojan Arkei (déchiffrement de données obtenues à partir d'un navigateur basé sur Chromium)
Dès lors, les mots de passe enregistrés, les détails de cartes bancaires et l'historique de navigation sont tous récupérés et prêts à être envoyés au serveur cybercriminel.
Firefox et les navigateurs dérivés
Le chiffrement des mots de passe dans les navigateurs basés sur Firefox est légèrement différent de ceux basés sur Chromium. Néanmoins, pour les Stealer Trojan, le processus d'obtention de ceux-ci est tout aussi simple.
Dans les navigateurs Firefox, le chiffrement utilise les services de sécurité de réseau (Network Security Services), un ensemble de bibliothèques de Mozilla pour le développement d'applications sécurisées, et entre autres la bibliothèque nss3.dll.
Comme pour les navigateurs basés sur Chromium, récupérer des données à partir du stockage chiffré revient aux mêmes actions simples, mais avec quelques réserves:
- Récupération du fichier de base de données. Les navigateurs dérivés de Firefox, à la différence de ceux basés sur Chromium, génèrent un nom de profil d'utilisateur aléatoire qui rend au préalable l'emplacement du fichier contenant des données chiffrés indéterminé. Cependant, comme les intrus connaissent le chemin d'accès aux dossiers contenant des profils utilisateur, il n'est pas difficile pour eux de les trier pour rechercher un fichier portant un certain nom (le nom du fichier contenant des données chiffrées ne dépend pas de l'utilisateur et est toujours le même). De plus, ces données peuvent rester même si l'utilisateur supprime le navigateur, un fait exploité par certains Stealer Trojan (par exemple, KPOT).
- Lecture de données chiffrées. Les données peuvent être stockées soit comme sous Chromium (au format SQLite) soit sous la forme d'un fichier JSON avec des champs contenant des données chiffrées.
- Déchiffrement des données. Pour déchiffrer les données, le Stealer doit charger la bibliothèque nss3.dll, puis appeler plusieurs fonctions et obtenir les données déchiffrées sous une forme lisible. Certains Stealer disposent de fonctions permettant de travailler directement avec les fichiers du navigateur, ce qui leur permet d’être indépendants de cette bibliothèque et de fonctionner même si le navigateur a été désinstallé. Cependant, il convient de noter que si la fonction de protection des données est utilisée avec un mot de passe principal, le déchiffrement sans savoir (ou forcer) ce mot de passe est impossible. Malheureusement, cette fonctionnalité est désactivée par défaut et son activation nécessite une analyse approfondie dans le menu des paramètres.
Échantillon de code de Stealer Trojan Orion (déchiffrement des données de navigateur basées sur Firefox)
Dès lors, les mots de passe enregistrés, les détails de cartes bancaires et l'historique de navigation sont tous récupérés et prêts à être envoyés au serveur cybercriminel.
Internet Explorer et Microsoft Edge
Dans les versions 4.x à 6.0 d'Internet Explorer, les mots de passe enregistrés et les données de remplissage automatique étaient stockés dans ce que l'on appelle le stockage protégé. Pour les récupérer (non seulement les données IE, mais aussi celles d'autres applications utilisant ce stockage), le Stealer avait besoin de charger la bibliothèque pstorec.dll et d'obtenir toutes les données sous forme lisible au moyen d'une liste simple.
Internet Explorer 7 et 8 utilisent une approche légèrement différente : le stockage utilisé s'appelle Credential Store, et le chiffrement est effectué à l'aide d'un sel. Malheureusement, ce sel est identique et bien connu. Le Stealer peut donc récupérer tous les mots de passe enregistrés en appelant la même fonction CryptUnprotectData que ci-dessus.
Internet Explorer 9 et Microsoft Edge utilisent un nouveau type de stockage appelé Vault. Cependant, il ne promet rien de nouveau en termes d'acquisition de données : le Stealer charge vaultcli.dll, appelle plusieurs fonctions et récupère toutes les données sauvegardées.
Ainsi, même une série de modifications apportées à la méthode de stockage des données n'empêche pas les données d'être lues par les Stealer Trojan.
Conclusion
« Les consommateurs modernes sont de plus en plus actifs en ligne et ont naturellement recours à Internet pour effectuer de nombreuses tâches de la vie quotidienne », a déclaré Alexander Eremin, chercheur en sécurité chez Kaspersky. « Cela remplit leurs profils numériques avec de plus en plus de données et de détails et en les transforme en une cible lucrative pour les criminels, car leurs données pourraient être monétisées de nombreuses façons. En stockant de manière sécurisée les mots de passe et les informations d'identification, les consommateurs peuvent utiliser leurs services en ligne préférés avec l'assurance que leurs données ne sont pas en danger. Cela peut passer par l'installation d'une solution de sécurité, car on ne peut jamais être trop prudent ».
Kaspersky recommande de ne pas partager les mots de passe ou les informations personnelles avec des amis ou des membres de la famille, car cela pourrait involontairement les rendre vulnérables aux programmes malveillants. L'éditeur recommande aussi de faire attention à ce que vous publiez sur les forums ou les médias sociaux. Les utilisateurs doivent également installer les dernières mises à jour et correctifs de produits pour assurer une protection contre les derniers logiciels malveillants ainsi que les menaces.
« Les utilisateurs confient souvent toutes les données critiques au navigateur. Après tout, c’est pratique lorsque les mots de passe et les détails de la carte bancaire sont remplis automatiquement dans les champs obligatoires. Mais nous déconseillons de confier ces informations vitales à des navigateurs Web, car les méthodes de protection qu'ils utilisent ne font pas obstacle aux logiciels malveillants.
« La popularité des programmes malveillants assoiffés de données de navigateur ne montre aucun signe de ralentissement. Les chevaux de Troie Stealer d’aujourd’hui sont activement pris en charge, mis à jour et complétés par de nouvelles fonctionnalités (par exemple, la possibilité de voler des données 2FA dans des applications générant des codes d’accès uniques).
« Nous vous recommandons d'utiliser un logiciel spécial pour stocker les mots de passe de compte en ligne et les détails de carte bancaire, ou des solutions de sécurité avec les technologies appropriées. Ne téléchargez pas et n'exécutez pas de fichiers suspects, ne suivez pas les liens des courriels suspects et respectez généralement toutes les mesures de sécurité ».
Source : Kaspersky
Et vous ?
Comment choisissez-vous votre mot de passe ?
Comment le protégez-vous ?
La recrudescence des attaques aux logiciels malveillants voleurs de mots de passe, un argument de plus pour les campagnes visant à promouvoir des alternatives aux MDP comme système d'authentification ?
Voir aussi :
EvilGnome : un nouveau malware qui espionne et cible les utilisateurs de PC Linux, il inclut plusieurs modules malveillants
Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours, via des attaques sans fichier
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
Trolldi : Google et l'ONU sont parmi les pires auteurs d'erreurs liées aux MdP en 2018, d'après les résultats d'une enquête
Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l'authentification multifacteur, d'après le dernier rapport WatchGuard