Les équipes de recherche de l’éditeur de cybersécurité ont identifié dans leur dernier rapport trois nouveaux logiciels malveillants dédiés au vol de données : Acrid, ScarletStealer et une forme évoluée de Sys01.
Même dans la cyber, le crime ne dort jamais. Alors que les acteurs malveillants redouble d’effort pour mettre au points de nouvelles attaques ou de nouveaux malwares, l’équipe de recherche et d’analyse (GReAT) de Kaspersky a mis au jour trois nouveaux stealers : Acrid, ScarletStealer et une forme évoluée de Sys01. Tous sont déjà déployés au niveau mondial auprès de nombreux utilisateurs.
Découvert en décembre dernier, Acrid est un nouveau venu dans le paysage des stealers. Malgré son architecture 32 bits, une rareté dans l’environnement 64 bits actuel, Acrid exploite la technique du « Heaven’s Gate », qui permet d’accéder à l’espace 64 bits et de contourner les mesures de sécurité. Il présente des fonctionnalités typiques des stealers, comme le vol de données de navigateur, de portefeuilles de crypto-monnaies, et l’exfiltration de fichiers.
ScarletStealer, identifié parallèlement à l’analyse du loader Penguish, diverge quant à lui des stealers traditionnels. Au lieu de voler directement des données, il télécharge des fichiers exécutables supplémentaires, ciblant principalement les portefeuilles de crypto-monnaies. Ces fichiers sont signés numériquement, une pratique redondante compte tenu de leurs fonctionnalités limitées et de leurs nombreuses failles.
Précédemment connu sous le nom d’Album Stealer ou S1deload Stealer, Sys01 a subi une transformation, mélangeant des charges utiles C# et PHP. Son vecteur d’infection reste toutefois le même. Il attire les utilisateurs avec des archives ZIP malveillantes déguisées en contenu pour adultes. Cette dernière itération, baptisée Newb, présente des fonctionnalités fragmentées, la collecte des données du navigateur étant séparée dans un module distinct appelé imageclass.