Attention aux liens sur YouTube
Le nom est poétique, l’activité beaucoup moins. Aurora — comme l’aurore — est un nouveau logiciel malveillant particulièrement surveillé par les experts. Alors que le marché des stealers — ces chevaux de Troie qui subtilisent des informations — est dominé par deux malwares à succès, Redline et Racoon, ce troisième acteur est apparu silencieusement. Il a rapidement trouvé sa place dans le milieu des hackers criminels. Les chercheurs en cyber de Sekoia se sont penchés sur cet outil, le 21 novembre 2022, lancé en avril dernier sur des forums russophones.
D’abord présenté comme un botnet polyvalent — pour perturber, attaquer des sites — ce logiciel malveillant a disparu, puis est revenu en août comme service de vol d’informations. Les premières publications précisaient (en russe) que le groupe ne travaillait pas pour Moscou.
Une fiche produit accompagne le lancement, avec la promesse d’une attaque discrète, d’une collecte de mot de passe et d’un ciblage de plus de 40 marques de portefeuilles de crypto-monnaies. Aurora est disponible pour environ 250 dollars par mois, ou 1 500 dollars pour une utilisation sans limite. Tout comme le marché légal du numérique, celui des logiciels malveillants fonctionne aussi par abonnement aujourd’hui et de nombreux « produits » sont proposés pour des prix abordables sur le darknet ou les forums.
Le stealer a vite été adopté par neuf groupes de pirates, essentiellement russophones, liste Sekoia. Entre octobre et novembre, plusieurs centaines d’échantillons de données ont pu être analysées par les chercheurs, confirmant la popularité du logiciel. Le rapport a également noté que les malfaiteurs ont distribué l’outil à travers diverses chaînes d’infections : celles-ci vont des sites de phishing classiques aux vidéos YouTube avec des liens intégrés en description. Les collectifs de hackers criminels font appel à des « traffers », des spécialistes du référencement pour faire monter un contenu frauduleux sur les plateformes vidéo. Lorsqu’ils le peuvent, les malfaiteurs vont directement s’attaquer à une chaine YouTube pour lancer une nouvelle arnaque.
Aurora fonctionne de manière « classique » pour un stealer : une fois téléchargé, le malware fouille les dossiers d’un navigateur jusqu’à tomber sur des fichiers qu’il reconnait, comme un gestionnaire de mot de passe, par exemple, pour l’extraire et l’envoyer sur un serveur externe. Les malfaiteurs chercheront ensuite à revendre les données dérobées ou se connecter à divers comptes pouvant leur rapporter de l’argent : e-commerce, crypto-monnaies. Des canaux de vente d’informations servent de place de marché en libre accès sur Telegram.
Bien qu’il soit efficace et très simple d’enregistrer tous les mots de passes sur son navigateur, on recommande de noter les codes pour les comptes les plus importants — adresse mail, banque, réseaux sociaux. Les gestionnaires de mot de passe peuvent faire office de coffres-forts pour vos codes d’accès. Une fois le stealer installé, le hacker fera tout pour que vous ne retrouviez pas votre compte. Avec ces types de malware, voler l’identité d’un internaute n’a jamais été aussi facile.

Partager l’article
Crédit photo de la une : Kristopher Roller / Unsplash
La suite en vidéo
4 questions sur Log4shell, la faille qui fait trembler le monde
Des hackers russes piratent la mairie de Chaville (Île-de-France)
Des hackers russophones revendiquent la cyberattaque contre une maternité à Paris
Une cyberattaque paralyse l’équivalent de la SNCF au Danemark
Un hacker russe membre du célèbre groupe Lockbit a été arrêté au Canada
Comment des hackers piègent des supporters de la Coupe du monde au Qatar
La cybersécurité est un enjeu stratégique pour les entreprises, les États et les particuliers. Cyberguerre ose ce grand écart : apprendre à votre oncle comment repérer un phishing et analyser la géopolitique des réseaux numériques. Cette newsletter vous permettra de ne pas en louper une miette.

À lire
Louer un iPhone est plus avantageux Humanoid Native
1300 victimes, 100 millions de dollars, l’impressionnant butin des hackers de Hive
« Cyberattaque » contre Thalès : « aucune intrusion », mais un partenaire ciblé
Les hackers criminels russes peuvent être tranquilles, Moscou ne les arrêtera jamais
Que signifie « supply chain attack » ?
Qu’est-ce qu’un hacker ?
L’histoire très louche du Chaos Computer Club France, appât de hackers en herbe
03.12.2022 14:18
Comment des hackers ont ouvert des dizaines de voitures
01.12.2022 10:55
Cyberattaque contre les Alpes-Maritimes : on connait le nom du coupable
29.11.2022 10:03
Attention des pirates se servent de la tendance TikTok « invisible body » pour voler des infos
29.11.2022 09:40
Plus d’un million de Français sont concernés par une fuite d’infos de Twitter
29.11.2022 09:19
7 chaines YouTube destinées aux hackers
26.11.2022 19:37
50 millions de mots de passe volés, le marché juteux des stealers sur Telegram
25.11.2022 11:15
Les hackers russes n’ont rien d’autre à faire que s’attaquer au Parlement européen
23.11.2022 18:36
Cette année encore, les pirates tenteront de vous arnaquer pour le Black Friday
23.11.2022 18:20
Les deux humoristes russes qui ont imité Macron sont-ils liés au Kremlin ?
22.11.2022 18:44
Commentaires
Aurora, le voleur de mots de passe que l’on n’a pas vu venir

source