Infostealers : les logiciels voleurs d’informations sont une menace de grande ampleur

Si les rançongiciels continuent à faire la une de l’actualité, une forme insidieuse de logiciels malveillants connus sous le nom d’infostealers (voleurs d’informations en anglais) est de fait bien plus répandue, et touche les grandes entreprises comme les particuliers. Les infostealers ciblent les informations sensibles sur les systèmes infectés, dont les mots de passe, les portefeuilles de cryptomonnaies, les cookies de sessions, les informations bancaires et d’autres données personnelles, pour une exfiltration rapide vers l’acteur malveillant. De nombreux logiciels infostealers sont mis en vente sous forme de service (malware-as-a-service ou MaaS), ce qui permet aux criminels de souscrire un abonnement (souvent de plusieurs centaines de dollars par mois) pour utiliser le logiciel à leurs fins, tandis que le vendeur gère la maintenance et l’hébergement du logiciel malveillant.  Cela permet d’abaisser la barrière d’entrée technologique pour les cybercriminels, ce qui explique l’expansion rapide et la généralisation des infostealers dans l’univers des cybermenaces. Comment les victimes sont-elles infectées ? Les victimes peuvent être infectées via diverses méthodes, dont les e-mails d’hameçonnage (phishing), en visitant un site infecté ou par l’intermédiaire d’applications malveillantes. Une fois qu’un ordinateur ou un réseau est infecté, le logiciel malveillant est exécuté et cherche à identifier et exfiltrer le plus rapidement possible des informations critiques (y compris, le cas échéant, le mot de passe maître LastPass) à partir des navigateurs et d’autres dossiers essentiels. Les acteurs malveillants exploitent ensuite ces données pour accéder aux comptes sensibles, ou ils reconditionnent ces informations pour les revendre sur les places de marché, les forums ou d’autres sites criminels. Le prix est en moyenne d’environ $10 par enregistrement (ou log dans le jargon), et des millions de logs sont disponibles à la vente à un instant T, ce qui atteste de l’ampleur et de la banalisation des infostealers. Ces logs contiennent des identifiants et d’autres informations sensibles sur les victimes, qu’il s’agisse de multinationales, de PME ou de comptes particuliers dérobés sur un ordinateur personnel. Que fait LastPass pour traiter ce problème ? Tout d’abord, dans le cadre de nos efforts visant à renforcer notre sécurité, LastPass a effectué des investissements importants dans un programme de renseignement sur les cybermenaces.  Nous avons notamment monté l’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de renseignement, de neutralisation et d’escalade des cybermenaces, développant ainsi considérablement notre veille et nos alertes en exploitant les signalements propriétaires et en open source, et la surveillance du deep web et du dark web à l’affût d’activités malveillantes. En outre, nous rendons ces données de renseignement exploitables en automatisant leur intégration avec nos équipes de détection et réponse et de gestion des vulnérabilités, afin de réduire les délais de neutralisation. Enfin, nous avons développé un processus dédié et ciblé pour suivre et signaler les identifiants piratés aux clients qui s’inscrivent à la surveillance du dark web. Sans surprise, les mots de passe maîtres sont très prisés par la communauté des infostealers, puisqu’ils permettent potentiellement d’accéder au coffre-fort des clients et donc à leurs données sensibles et leurs mots de passe. Bien que des dizaines d’infostealers soient disponibles, LastPass surveille trois souches qui font souvent la promotion d’identifiants de clients LastPass :

• Redline : Ce stealer MaaS parmi les plus répandus est disponible depuis 2020.
• Raccoon : Ce stealer et ses dérivés sont disponibles depuis 2019.
• Vidar : Disponible depuis 2018, ce stealer est également capable d’effectuer des captures d’écran.

LastPass prend des mesures importantes pour protéger les identifiants de ses clients. Nous avons récemment étendu notre surveillance du dark web à celle des logs d’infostealers et d’autres sources qui proposent potentiellement des identifiants LastPass. Bien que LastPass ne puisse pas bloquer l’infection initiale, puisqu’elle passe généralement par des tentatives d’hameçonnage, la consultation de sites infectés ou l’installation d’applications malveillantes en local sur l’appareil de l’utilisateur, nous pouvons contribuer à protéger nos clients en les informant que leurs données ont été piratées. Que faire pour protéger son compte ? Nous recommandons à tous les utilisateurs LastPass de s’inscrire au programme de surveillance du dark web, qui fournit un niveau de protection supplémentaire. Nous vous notifions ensuite si vos identifiants sont détectés sur le dark web. Par ailleurs :

• Utilisez l’authentification multifacteur (MFA) si disponible pour protéger vos comptes. N’acceptez et ne validez pas les requêtes de MFA que vous n’avez pas explicitement déclenchées.
• Ne faites pas confiance aux applications fournies via des canaux non conventionnels (hors des App Store généralistes).
• Utilisez un logiciel antivirus et actualisez-le régulièrement ou mieux, activez les mises à jour automatiques.
• N’enregistrez pas votre mot de passe maître sur votre appareil, y compris dans le gestionnaire de préremplissage de votre navigateur.

LastPass continue à renforcer sa capacité de surveillance et de signalement, et nous développons un processus pour entraver de manière proactive les souches de logiciels malveillants qui ciblent les comptes LastPass. Nous sommes déterminés à informer nos clients ainsi que la communauté de la cybersécurité sur ces tendances, sur les mesures que nous prenons pour assurer la sécurité des données de nos clients et sur l’impact de nos efforts dans un souci de transparence. LastPass Labs est la base de contenu de l’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de LastPass. L’analyse approfondie des derniers développements en matière de sécurité, la veille technologique ainsi qu’un regard acéré sur les cybermenaces sont nos principaux objectifs. L’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de renseignement, de neutralisation et d’escalade des cybermenaces a pour vocation de protéger la communauté en analysant et prévenant les risques qui menacent nos clients, notre société et notre secteur. L’équipe, qui cumule près de 50 années d’expérience dans le domaine du renseignement et de l’informatique, est convaincue que le partage d’informations et la création de relations de confiance constituent le socle d’un programme de renseignement fructueux. Notre objectif chez LastPass est de fournir des informations exploitables à tous les intervenants dans les meilleurs délais, afin d’aider nos équipes de sécurité à protéger nos clients, leurs données et leur entreprise. Nous comptons non seulement mener des analyses et informer nos équipes de sécurité sur l’évolution de l’univers des cybermenaces, mais également automatiser l’intégration de nos conclusions aux processus de nos partenaires afin de réduire le délai entre détection et prévention des menaces.