Logiciel malveillant voleur de mythes
Des chercheurs en cybersécurité ont découvert un malware de vol d'informations, jusqu'alors inconnu, écrit en Rust, appelé Myth Stealer. Ce logiciel malveillant se propage via des sites de jeux frauduleux. Une fois exécuté, il affiche une fausse fenêtre d'installation pour paraître légitime, tout en déchiffrant et en lançant secrètement sa charge utile malveillante en arrière-plan.
Table des matières
Du logiciel gratuit au logiciel malveillant en tant que service à part entière
Initialement disponible gratuitement en version bêta sur Telegram fin décembre 2024, Myth Stealer a depuis évolué vers un Malware-as-a-Service (MaaS). Il est conçu pour collecter des informations sensibles telles que les mots de passe, les cookies et les données de saisie automatique à partir des navigateurs basés sur Chromium et Gecko, notamment Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Mozilla Firefox.
Tactiques de télégramme et activité sur le marché
Les opérateurs à l'origine de Myth Stealer géraient plusieurs chaînes Telegram utilisées pour promouvoir des comptes volés et partager des témoignages d'utilisateurs. Ces chaînes ont depuis été fermées par Telegram, perturbant ainsi l'un des principaux canaux marketing et de support du malware.
Les faux sites de jeux alimentent la propagation
Des chercheurs ont établi un lien entre la distribution de Myth Stealer et des sites de jeux vidéo trompeurs, dont un hébergé sur la plateforme Blogger de Google. Ces sites se font passer pour des plateformes de test de jeux vidéo afin d'attirer des utilisateurs peu méfiants. Il est intéressant de noter qu'une page Blogger presque identique avait déjà été utilisée pour diffuser un autre voleur de contenu, AgeoStealer.
Voleur de mythes contre AgeoStealer : tactiques similaires, code différent
Malgré les similitudes dans leurs méthodes de diffusion, aucun lien technique n'a été établi entre Myth Stealer et AgeoStealer. Alors qu'AgeoStealer est développé en JavaScript et présenté sous forme d'application Electron, Myth Stealer utilise le langage de programmation Rust.
Logiciels crackés et appâts pour forums
Myth Stealer a également été repéré sur des forums en ligne se faisant passer pour une version crackée de DDrace, un logiciel de triche. Cela témoigne d'une stratégie de distribution plus vaste et diversifiée, conçue pour piéger les joueurs peu méfiants et les tricheurs.
Tour de passe-passe : processus d’exécution trompeur
Quel que soit le mode de diffusion, le chargeur du malware présente une fausse fenêtre d'installation pour maintenir l'illusion de légitimité. En coulisses, il déchiffre et exécute le composant voleur, déclenchant ainsi le processus de vol de données à l'insu de l'utilisateur.
Voler en toute discrétion : capacités techniques
Dans sa charge utile DLL 64 bits, Myth Stealer tente de mettre fin aux processus actifs du navigateur avant d'extraire les données. Il exfiltre les informations volées vers un serveur distant ou, dans certains cas, vers un webhook Discord.
Éviter la détection : évolution des tactiques
Myth Stealer intègre des techniques anti-analyse, telles que l'obscurcissement des chaînes de caractères et les vérifications système basées sur les noms de fichiers et les noms d'utilisateur. Les développeurs mettent régulièrement à jour le malware pour échapper à la détection antivirus et ont ajouté des fonctionnalités telles que la capture d'écran et le piratage du presse-papiers pour étendre ses capacités.
Conclusion : une menace croissante dans le paysage des logiciels malveillants
Myth Stealer représente une menace sophistiquée et évolutive, exploitant des pratiques modernes de développement de logiciels malveillants, des stratégies de distribution multicanal et des techniques d'évasion. Son apparition souligne les risques croissants liés au téléchargement de logiciels provenant de sources non fiables, notamment dans le monde du jeu vidéo.
