Menu Fermer

Trojan Stealer : le malware qui vole des données

Cette entrée fait partie d'une série de 10 sur 11 dans la série Virus et Trojan : le dossier COMPLET

Dans un précédent article, j’expliquant comment les cybercriminels piratent les comptes internet, pour cela ils peuvent utiliser un Trojan Stealer.

Parmi les menaces informatiques les plus dangereuses, le Trojan Stealer est une des plus importantes.
Ce cheval de troie est capable de siphonner les données de l’appareil infecté.
Il donne accès aux informations de connexion des comptes internet pour un accès frauduleux.

Dans ce tutoriel, je vous explique ce qu’est un Trojan Stealer et vous donne les grandes lignes de son fonctionnement.

Trojan Stealer : le malware qui vole des données

Qu’est-ce qu’un Trojan Stealer

Un Trojan Stealer est un cheval de troie qui se spécialise dans le vol de données.
Les données ciblées sont diverses comme les mots de passe; des accès à des comptes en ligne ou encore des données nominatives telles que les noms, prénom, adresse postale, numéro de téléphone etc.
Si le malware s’attaque à une entreprise, cela peut aussi être des données clientes ou encore des données industrielles.

Un Trojan.Stealer peut fonctionner silencieusement en arrière-plan et ne fournir aucune indication d’infection à l’utilisateur. Certains peuvent également désactiver les programmes antivirus et autres fonctions de sécurité de Microsoft Windows.

Les détections ou dénominations utilisés par les antivirus peuvent être du type : Trojan.Stealer Trojan.PasswordStealer, Trojan.PWD, InfoStealer.
Etant donné qu’un Trojan Stealer possède des capacités de surveillance (KeyLogger, capture d’écran, etc), ils peuvent aussi être détecté en tant que Spyware ou Trojan-Spy.

Détection TrojanSpy.Win32/Stealer par Microsoft Defender

Comment fonctionne un Trojan Stealer

Le fonctionnement est relativement simple.
La victime installe un malware sur son appareil sans le savoir.
Une fois établi dans un système ou un réseau, le malware peut utiliser des techniques automatisées pour collecter des données internes. Ces techniques peuvent inclure des recherches automatisées pour collecter des informations correspondant à des critères définis, tels que le type de fichier, l’emplacement ou le nom, à des intervalles de temps spécifiques.

Ensuite le cheval de troie doit exfiltrer les données volées.
Certains Trojan Stealer envoie les données par SMTP à une adresse email spécifique, ou par FTP sous la forme d’un fichier texte avec le nom de l’ordinateur.
Enfin les plus sophistiqués utilisent un certains de contrôle, les données y sont déposés et le Trojan Stealer peut aussi recevoir des ordres.
Il prend alors la forme d’un bot et on dit que le PC a rejoint un botnet.
Le malware peut permettre à un attaquant d’obtenir des informations supplémentaires sur l’appareil comme les versions, applications installées, patch etc mais aussi au niveau du réseau.
Le malware peut être utilisé pour pénétrer plus profondément un réseau ou iinstaller des logiciels supplémentaires sur la machine infectée.
Le but est en général d’installer des logiciels malveillants supplémentaires pour monétiser, comme un ransomware, un adware ou encore demander à la machine infectée de participer à un botnet malveillant dans le but d’envoyer du spam ou d’autres activités malveillantes.
La communication vers le serveur de contrôle (C&C) peut se faire par HTTP, WebSocket ou encore via IRC.

Chaîne d'infection d'un Trojan Stealer

Les fonctionnalités principales d’un Trojan Stealer sont :

  • Fonctionnalité d’enregistrement de frappe clavier / KeyLogger
  • Capturer le presse papier pour voler les données utilisées pour copier/coller
  • Voler les cookies enregistrés dans le navigateur internet
  • Faire des captures d’écran qui peuvent être utilisées pour récupérer des informations
  • Capture vidéo : Un adversaire peut exploiter les périphériques d’un ordinateur (par exemple, les caméras intégrées ou les webcams) ou les applications (par exemple, les services d’appel vidéo) pour capturer des enregistrements vidéo dans le but de recueillir des informations. Des images peuvent également être capturées à partir de périphériques ou d’applications, potentiellement à des intervalles spécifiés, à la place de fichiers vidéo

Ensuite le malware se doit de pouvoir s’attaquer à des applications spécifiques.
Par exemple, à des clients FTP comme FileZilla pour récupérer des accès à des serveurs FTP, à des gestionnaires de mots de passe, client VPN, application de messageries ou encore des portefeuilles de crypto-monnaie.

Les Trojan Stealer spécifiques

Le Trojan Stealer est une catégorie de menaces informatiques liées à ses capacités.
Ainsi, d’autres catégories de malware peuvent être pris en Trojan Stealer.
Par exemple, beaucoup de Trojan RAT sont des Trojan Stealer car ils ont des capacités pour voler des données.

Toutefois, il existe des familles de malware créés spécifiquement dans le but de voler des données.
Parmi les plus courantes et actives, on trouve Redline Stealer, Raccoon Stealer, Agent Testla, Arechclient2, MassLogger, ColdStealer, Vidar Stealer, LodaRAT, ColdStealer, Mars Stelaler, Racoon Stealer, BlackGuard Stealer, Fabookie, PseudoManuscrypt ou Danabot.

Les différences se situent dans la sophistication à échapper aux détections et l’étendue des logiciels ciblés (client de messagerie, gestionnaire de mots de passe, etc).
C’est souvent ce qui est mis en avant dans la vente ou la localisation d’un malware (malware-as-a-service (MaaS)).

Les Trojan PWD Stealer pour voler les mots de passe du navigateur internet
source : https://blog.cyble.com/2022/07/25/luca-stealer-source-code-leaked-on-a-cybercrime-forum/

Certains cherchent à viser un maximum d’applications et d’autres se restreindre à des catégorie spécifiques de cibles.
Ces Trojan sont souvent redoutables car ils développement des méthodes spécifiques et sophistiquées pour voler ces données.

Par exemple, il existe aussi des Trojan Stealer qui se spécialisent dans le vol de certains données.
Par exemple, ceux qui s’attaquent aux comptes bancaires sont des Trojan Banker.
Bien souvent, ils spécialisent pour s’attaquer aux sites des banques.

On trouve aussi les Trojan Stealer qui s’attaquent aux jeux en ligne.
Les cybercriminels vendent également l’accès à des comptes de jeux spécifiques, à la fois individuellement et en gros. Il n’est pas surprenant que les comptes contenant de nombreux jeux, des modules complémentaires et des articles coûteux aient une valeur particulière. En général, les cybercriminels les vendent avec d’énormes remises.
Ainsi, ces Trojan Stealer ciblent des plateformes de jeux ligne telles que Bethesda, Epic Games, GOG, Origin, Steam, Telegram, VimeWorld et Twitch et Discord.

Comment se protéger d’un Trojan Stealer

Voici les principales conseils afin de se protéger de ce type de Trojan Stealer :

  • Protéger vos comptes avec des mots de passe forts, activez l’authentification à deux facteurs et, d’une manière générale
  • Optimisez les paramètres de sécurité de la plateforme en ligne
  • Ne télécharger que des applications provenant de sources officielles afin de minimiser les risques d’attraper des logiciels malveillants
  • Méfiez-vous des liens contenus dans les e-mails et les messages d’inconnus
  • Avant de saisir vos informations d’identification sur un site Web, assurez-vous qu’il est authentique

En outre vous pouvez aussi suivre les conseils du site pour sécuriser votre PC contre les menaces informatiques.

Comment protéger son PC des virus et des pirates ?

Comment supprimer un Trojan Stealer de son PC ?

Enfin côté désinfection, rien de particulier pour supprimer cette menace informatique.
Vous pouvez suivre le tutoriel du site :

Comment supprimer un trojan de son PC gratuitement
Naviguer dans la série<< Les rootkits sur Windows : le fonctionnement, détection et suppressionLNK Malware : ce qu’il faut savoir >>