Les logiciels malveillants qui volent les mots de passe, les cookies et les données de carte de paiement des navigateurs Web sont vendus via un canal Telegram et un site Web Tor, ont découvert des chercheurs en sécurité.

Appelée collectivement « Projet Eternity » par ses architectes, la suite de logiciels malveillants comprend déjà des voleurs, des clippers, des vers, des mineurs et des rançongiciels, avec un bot de déni de service distribué (DDoS) apparemment en cours de développement.

Une chaîne Telegram fournit des informations sur les prochaines mises à jour logicielles et des vidéos documentant les fonctionnalités du logiciel malveillant à des centaines d’abonnés.

« Il est intéressant de noter que les personnes qui achètent le logiciel malveillant peuvent utiliser le Telegram Bot pour créer le binaire », selon un article de blog par Cyble Research Labs.

« Les TA [threat actors] fournir une option dans le canal Telegram pour personnaliser les fonctionnalités binaires, ce qui fournit un moyen efficace de créer des binaires sans aucune dépendance.

Le logiciel malveillant offre des fonctionnalités sophistiquées, avec des améliorations en préparation, et a été largement déployé dans le monde entier, selon Dhanalakshmi PK, directeur principal de Cyble pour la recherche sur les logiciels malveillants et le renseignement.

Nous soupçonnons que ce logiciel malveillant a été livré sous forme piratée ou [a] nouvelle version du logiciel libre », a-t-elle déclaré La gorgée quotidienne.

« De plus, au moment de l’analyse, la chaîne Telegram compte 500 abonnés. Cela indique qu’il pourrait y avoir [a] [large] impact… par d’autres acteurs ou affiliés.

Versatile

Un module Stealer, qui coûte 260 $ pour un abonnement annuel, exfiltre également les données AutoFill, les jetons, l’historique et les signets de Chrome, Chromium, Firefox, Edge, Opera et plus de 20 autres navigateurs.

Les autres données extraites de la machine infectée vers le bot Telegram de l’acteur de la menace sont diverses informations d’identification du système et la crypto-monnaie via une large gamme de crypto-portefeuilles et d’extensions de crypto-monnaie de navigateur.

Eternity Stealer « extrait également les informations d’identification des fichiers de configuration des clients VPN avec [with] outils de gestion de mots de passe répertoriés, mais [the] les logiciels malveillants n’ont aucune capacité d’enregistrement de frappe », selon Dhanalakshmi PK.

Le rançongiciel Eternity, quant à lui, peut chiffrer des documents, des photos et des bases de données sur des disques, des partages locaux et des clés USB sur des machines compromises.

L’installation de ransomware – l’option la plus chère à 490 $ – offre un cryptage hors ligne, un algorithme de cryptage combinant AES et RSA, et la possibilité de définir un délai après lequel les fichiers ne peuvent pas être décryptés.

Le ver Eternity, au prix de 390 $, se propage à travers les machines infectées via des fichiers locaux et des partages réseau locaux ; Google Drive, OneDrive et DropBox ; et Discord, Telegram et Python Interpreter.

Pour 110 $, les cyberescrocs en herbe peuvent exploiter les logiciels malveillants clipper qui prennent en charge plusieurs formats d’adresse pour BTC, LTC, ZEC et BCH, tandis qu’un module d’extraction de crypto-monnaie de 90 $ par an offre une extraction silencieuse de Monero et des redémarrages automatiques.

Augmentation de la cybercriminalité

Les chercheurs soupçonnent que le développeur derrière le projet Eternity réoriente le code dans le Référentiel GitHub « DynamicStealer »et ont identifié des liens possibles avec l’auteur de la menace derrière le Logiciel malveillant Jester Stealer Cyble documenté en février.

Cyble Research Labs a déclaré avoir récemment « observé une augmentation significative de la cybercriminalité via les canaux Telegram et les forums sur la cybercriminalité ».

Il est conseillé aux particuliers et aux organisations de se protéger en installant un logiciel de sécurité réputé, en activant les mises à jour logicielles automatiques si possible, en sauvegardant régulièrement les données et en conservant les sauvegardes hors ligne ou sur un réseau séparé, et en s’abstenant d’ouvrir des liens et des pièces jointes non fiables sans vérifier leur authenticité.