Le malware « Angry Stealer » est diffusé sur les réseaux sociaux. Il est également proposé sur des applications de messagerie telles que Telegram. Ce malware renommé permet d'exploiter l'API Telegram pour voler des données.

Une version rebaptisée de Rage Stealer est vendue en ligne

Identifié par l’équipe de recherche CYFIRMA, le malware Angry Stealer est essentiellement un package de « vol d’informations ». Il est inquiétant de constater que le malware semble avoir été banalisé.

Les acteurs malveillants font la publicité de la disponibilité du malware sur plusieurs plateformes de médias sociaux, dont Telegram. Cela augmente considérablement le nombre d'attaquants potentiels et la portée du malware.

Selon certaines informations, Angry Stealer ciblerait un large éventail de données sensibles. Il utilise des techniques avancées et des tactiques de changement de marque. Sa stratégie d'attaque et ses processus semblent similaires à ceux du malware Rage Stealer.

Selon l'équipe de recherche en sécurité de CYFIRMA, Angry Stealer pourrait être une version rebaptisée du malware Rage Stealer. En effet, il existe de nombreuses similitudes dans le code, les fonctionnalités, les fonctions et même le comportement.

Comment le malware Angry Stealer vole-t-il des données ?

Angry Stealer est composé de deux composants principaux : « Stepasha.exe » et « MotherRussia.exe ». Les créateurs ont conçu la charge utile en utilisant .Net comme exécutable Win32 32 bits.

Stepasha.exe tente de voler des informations sensibles telles que des mots de passe, des cookies, des informations de remplissage automatique, des détails de portefeuille de crypto-monnaie, des informations système, des informations d'identification VPN, des jetons Discord, etc. Ces données volées sont ensuite chargées sur les API de Telegram à l'aide d'informations d'authentification intégrées. Cet exécutable contourne même la validation SSL pour garantir une exfiltration réussie des données.

MotherRussia.exe, en revanche, est conçu pour ouvrir de nouvelles voies et piéger davantage de victimes. En d'autres termes, cet exécutable peut générer des malwares personnalisés. L'équipe de recherche en sécurité suggère que ce programme pourrait ouvrir des sessions de bureau à distance pour se propager.

Globalement, après une infection réussie, Angry Stealer commence une collecte systématique et approfondie de données sensibles. Il semble cibler les navigateurs Web les plus populaires. Cela pourrait être dû au fait que les navigateurs sont devenus un emplacement privilégié pour stocker les mots de passe et les identifiants de connexion pour de nombreux services en ligne.

L'équipe de recherche a observé que le malware Angry Stealer s'attaquait simultanément à plusieurs navigateurs. Il tente constamment d'extraire des mots de passe, des informations de carte de crédit, des cookies, des données de saisie automatique, des signets, des processus en cours d'exécution, des captures d'écran et des spécifications système.

Le malware Angry Stealer prend des précautions pour échapper à la détection. Il donne la priorité aux dossiers et documents clés susceptibles de contenir des informations sensibles. De plus, le malware collecte même l'adresse IP de la victime, sa situation géographique et les données liées au réseau.

Pour lutter contre ce malware, les administrateurs système doivent adopter une approche de sécurité multicouche. Une séparation appropriée des réseaux peut limiter le mouvement latéral du malware. Le malware semble se propager par le biais de plusieurs techniques, impliquant principalement l'erreur humaine, la négligence et l'oubli. Par conséquent, le déploiement de programmes de sécurité robustes et leur mise à jour constante sont essentiels pour lutter contre le malware Angry Stealer.

A lire également