Traffers : une plongée dans l’écosystème des voleurs d’informations

Contexte

L’écosystème de la cybercriminalité est rempli d’une multitude d’acteurs qui, au travers de leurs activités malveillantes et dans une organisation hiérarchisée partagent les mêmes motivations d’ordre financiers. 

À travers cet article, nous avons décidé de rediriger les projecteurs sur l’un groupe d’acteurs de cet écosystème appelés “traffers” ou “ouvriers du cybercrime”. Et pour cause, les “traffers” sont souvent ignorés, méconnus et mal décrits dans l’industrie de la cybersécurité. Or, ils jouent un rôle clé dans la diffusion des menaces, ainsi que dans l’économie souterraine des acteurs de la menace cyber. 

Communément appelés traffers (du mot russe « Траффер », également appelé « ouvrier » dans la communauté du cybercrime), ces acteurs sont placés au début de la chaîne d’infection. Ils sont en effet chargés de rediriger le trafic des utilisateurs vers des contenus malveillants (malware, fraude, phishing, arnaque, etc.) exploité par d’autres acteurs placés au niveau supérieur de l’écosystème du cybercrime. Ils monétisent le trafic vers ces opérateurs de botnet qui ont l’intention de compromettre les utilisateurs soit à une large échelle, soit selon leurs géolocalisation ou leur usage d’un système d’exploitation précis.
Le principal défi auquel est confronté un “traffer” ou “ouvrier du cybercrime” est donc de générer un trafic de haute qualité sans bots, non détecté ou analysé par les éditeurs de sécurité, et éventuellement filtré par type de trafic. En d’autres termes, l’activité des “traffers” est une forme de génération de leads pour les cybercriminels.

Pour générer du trafic, les “traffers” attirent les utilisateurs depuis des sites web légitimes pour les rediriger vers un serveur, un site web compromis ou un contenu malveillant exploité par le propriétaire du botnet. Certains traffers utilisent des méthodes avancées et sophistiquées telles que le système de distribution de trafic (TDS) pour exploiter et rediriger le trafic. Cet outil permet aux ouvriers du cybercrime de filtrer le trafic en fonction de ses caractéristiques, telles que :

• L’emplacement, 
• Le système d’exploitation, 
• Les en-têtes HTTP, leur permettant de vendre un trafic de haute qualité aux acteurs de la menace avec des cibles spécifiques.

D’autres traffers ou ouvriers du cybercrime se concentrent quant à eux, sur la génération de trafic orientée vers un très large public sur une courte période tout en évitant d’être détectés.

La tendance autour de cette activité est en croissance. Et de nombreux traffers rejoignent des équipes pour distribuer (sur sollicitation d’un des administrateurs) des logiciels malveillants spécialisés dans le vol d’informations. 

Dans ces équipes, les traffers peuvent être à la fois des acteurs hautement qualifiés et des nouveaux venus dans le paysage des menaces. Ils bénéficient généralement de sessions de formation lorsqu’ils sont embauchés par une équipe. Ces groupes sont donc une porte d’entrée dans l’écosystème de la cybercriminalité pour les nouveaux arrivants. Le(s) administrateur(s) des équipes de traffers collectent les logs de l’utilisateur (informations volées dont mots de passe, portefeuilles cryptographiques, documents, etc.) pour les exploiter ou les revendre.

Introduction

Durant le premier semestre 2022, SEKOIA a identifié une augmentation de l’utilisation des logiciels malveillants spécialisés dans le vol d’informations en tant que logiciels préférés des cybercriminels. 

Nous avons observé cette tendance grâce à notre routine de surveillance du Darkweb, les indicateurs de compromissions obtenus à partir des trackers positionnés sur les logiciels malveillants de vols d’informations et nos informations sur le paysage des menaces. Ces observations nous ont amené à analyser les principaux modes de diffusion des menaces, ainsi que l’organisation des traffers travaillant avec des acteurs du cybercrime.

Les équipes de traffers traitant avec les acteurs malveillants spécialisés dans le vol d’informations se trouvent principalement sur les forums de cybercriminalité russophones.
SEKOIA a observé des centaines de publicités visant à recruter des traffers pour distribuer des logiciels malveillants spécialisés dans le vol d’informations. Une enquête plus approfondie nous a conduit à identifier une structure et un mode opératoire propres à la plupart des équipes de traffers distribuant des logiciels malveillants. Nous partageons également des informations sur la principale chaîne d’infection utilisée par les traffers et leur arsenal pour distiller insidieusement les logiciels malveillants.

Ce rapport est basé sur des données collectées entre janvier et mi-août 2022 sur les forums de cybercriminalité tels que Lolz Guru et BHF. Nous avons concentré notre analyse sur l’activité des traffers spécialisés dans la distribution de logiciels malveillants spécialisés dans le vol d’informations.

Traffers distribuant des logiciels malveillants : une immersion dans le monde des cybercriminels en forte prolifération

Les équipes de traffers au sein de l’écosystème de la cybercriminalité

À l’instar d’autres acteurs de la menace dans le paysage de la cybercriminalité en constante professionnalisation, les traffers opèrent soit seuls, soit rejoignent une équipe, appelée « équipe de traffers ».

Les équipes de traffers opérant sur les forums de cybercriminalité affichent différents objectifs. Certains cherchent à arnaquer les propriétaires de NFT (Non-Fungible Token) ou de crypto-monnaie, tandis que d’autres ciblent les utilisateurs de casinos en ligne. Plusieurs d’entre eux délivrent des logiciels malveillants, tels que RAT (Remote Access Trojan), des mineurs ou des logiciels malveillants spécialisés dans le vol d’informations. SEKOIA a observé que plus de 90% des équipes de traffers opèrent avec des logiciels spécialisés dans le vol d’informations, qu’ils soient commercialisés ou développés au sein des équipes. Certains exploitent même deux ou trois logiciels malveillants spécialisés dans le vol d’informations.

La plupart des équipes de traffers surveillées par SEKOIA opèrent sur des forums de cybercriminalité russophones, par exemple Lolz Guru et BHF, communément appelés « forums d’ingénierie sociale » dans la communauté clandestine. Ces forums servent à faire la publicité de produits et services, à annoncer la création, l’émergence de nouvelles équipes et à récolter des avis pour gagner en visibilité. En parallèle, le service de messagerie instantanée Telegram est mis à profit pour organiser les activités des équipes. La majorité des traffers observés dans notre enquête sont de langue maternelle russe.

D’après nos observations, une équipe peut atteindre des centaines, voire des milliers de membres (par exemple , TigerTeams comptait plus de 200 membres et 340 abonnements à des bots en avril 2022 et BandanaTeam a déclaré plus de 5000 membres dans son équipe en juillet 2022).

Pour mieux comprendre l’évolution de la menace liée aux traffers, nous avons suivi les équipes de traffers émergentes sur le forum underground Lolz Guru depuis début 2022.

Nous avons enregistré 125 équipes de traffers créées depuis janvier 2022 sur la section « Traffers » du forum Lolz Guru. Au moins la moitié d’entre eux étaient encore actifs au cours du mois dernier.

Figure 1. Nombre d’équipes de traffers nouvellement lancées par mois en 2022 (Source : forum Lolz Guru, section Traffers)

La longévité d’une équipe de traffers est complexe à évaluer. Les ressources mobilisées restant assez accessibles, les équipes ont fait preuve de souplesse pour se réorganiser, en fusionnant avec d’autres équipes ou tout simplement en repartant de zéro. Selon une déclaration de l’administrateur de la Dead Team en juin 2022, il lui a fallu dépenser 3 000 $ pour constituer une équipe de 600 traffers avant de la revendre. Autre exemple, toute l’infrastructure de TigersTeam (entre 200 et 340 traffers) a été mise en vente pour 300$ en avril 2022, et la Moon Team (1000 traffers) était mise à prix à 2 300$ en mai 2022. D’après plusieurs publications recueillies sur le Forum Lolz Guru, cela représente un « investissement » qui peut être rentabilisé en moins d’un mois.

Coup de projecteur sur l’organisation type d’une équipe de traffers

Une équipe de traffers est une structure organisée, gérée de manière centralisée et dirigée par un ou plusieurs administrateurs. Voici un aperçu d’une équipe typique de traffers et ses différentes interactions au sein de l’écosystème de la cybercriminalité : 

Figure 2. Aperçu de la structure d’une équipe typique de traffers typique et ses interactions

Le rôle des administrateurs d’équipe

Les administrateurs d’équipe ont pour principale mission de recruter des traffers ou ouvriers chargés à leur tour d’attirer du trafic vers les logiciels malveillants spécialisés dans le vol d’informations.

Un administrateur d’équipe est aussi responsable de la gestion de toutes les tâches dédiées à la génération de trafic. Cela inclut notamment l’obtention d’une licence de voleur et le partage de versions prêtes à être distribuées aux membres de l’équipe, la vérification de la validité des journaux reçus et leur exploitation rapide.

Par conséquent, les administrateurs d’équipe fournissent aux membres de leur équipe un kit contenant les ressources suivantes :

• Builds générés automatiquement et poussés aux traffers par un bot Telegram ;
• Un service de chiffrement pour chiffrer ou dissimuler les versions de logiciels malveillants afin d’échapper aux solutions de détection ;
• Un « manuel du trafic » qui comprend des directives pour les membres de l’équipe et un support technique complet. Les administrateurs d’équipe peuvent rédiger eux-mêmes un manuel ou utiliser les services d’un tiers indépendant pour rédiger un manuel du traffer en tant que service ;
• Des services de SEO (Search Engine Optimization) pour améliorer la visibilité des vidéos téléchargées sur YouTube en utilisant le schéma 911 (le schéma 911 est détaillé plus loin dans le rapport et l’annexe 2 illustre la chaîne d’infection) ;
• Un logiciel de mise en ligne YouTube ou un service de mise en ligne YouTube (en embauchant un membre de l’équipe dédié responsable de la mise en ligne sur YouTube pour le compte des traffers) ;
• Un canal Telegram pour la communication au sein de l’équipe ;
• Un bot Telegram pour automatiser les tâches, telles que le partage de nouvelles versions de logiciels malveillants, les statistiques, l’argent gagné par le traffer ;
• Un service dédié pour le parsing, le traitement, l’exploitation et la vente de logs. Les administrateurs de l’équipe coordonnent le processus de qualification et d’analyse des logs, d’extraction des logs d’exploitation.

Les administrateurs de l’équipe invitent les membres recrutés à :

• Diffuser largement les versions, 
• À générer un grand volume de journaux via des infections à partir de logiciels malveillants 
• Et à les récompenser en fonction d’une formule dans laquelle la quantité et la qualité des informations collectées sont prises en compte.

Les administrateurs des équipes organisent régulièrement des compétitions dans lesquelles les traffers sont mis au défi de collecter un maximum de logs, c’est-à-dire de distribuer un maximum de builds. Les gagnants sont récompensés par des prix en espèces et mis à niveau vers une version Pro de l’adhésion. La version Pro déverrouille l’accès à un deuxième logiciel de vol d’informations. Les traffers sont invités à une chaîne privée Telegram. Ils obtiennent de meilleurs services (comme le référencement et autres) et des bonus.

La valeur ajoutée principale d’une équipe de Traffers réside dans les journaux des portefeuilles cryptographiques. Les revenus générés par l’exploitation sont partagés avec le traffer qui a soumis les journaux (qui obtient de 60 % à 90 % des revenus). Une équipe peut également extraire et revendre des comptes de jeux vidéo, de commerce électronique et de réseaux sociaux. Les journaux restants sont renvoyés aux traffers pour être réutilisés.

Le prix de vente des logs au sein de la communauté des acteurs de la menace varie considérablement en fonction de leur validité et des informations qu’elles contiennent. Généralement, plus un journal est récent, plus la probabilité de contenir des cookies actifs est élevée, plus il est recherché.

Rôle des traffers au sein d’une équipe

Une fois qu’un traffer a rejoint une équipe, il est capable de demander à un bot Telegram des builds pour recevoir un échantillon de malware. Un traffer peut faire plusieurs requêtes à ce bot, le nombre de builds qu’il peut générer étant limité à un quota journalier, tel qu’il a été défini par le ou les administrateurs de l’équipe. 

Lorsqu’ils rejoignent des équipes, les traffers doivent souvent respecter un certain nombre d’exigences au risque d’être expulsés. Les exigences incluent :

• Ils ne peuvent pas utiliser leur propre logiciel malveillant ou coller un logiciel malveillant à celui fourni par l’équipe, la distribution de logiciels de rançon est également interdite ;
• Ils ne peuvent pas partager la version reçue avec des tiers ;
• Ils ne peuvent pas vérifier le build sur des services en ligne tels que VirusTotal ;
• Ils ne peuvent pas être inactifs plus de deux semaines consécutives.

SEKOIA estime que cela sert à encadrer l’activité des traffers pour éviter les comportements abusifs pouvant conduire à brûler le serveur C2. C’est aussi un moyen d’éviter une mauvaise distribution massive de builds sur des canaux facilement détectables par les éditeurs de sécurité.

Une fois qu’un traffer obtient une version, il est responsable de la propagation du logiciel malveillant à l’aide des méthodes de diffusion de l’équipe ou de sa propre chaîne d’infection.

Les traffers peuvent également distribuer leur propre logiciel de vols d’informations et monétiser eux-mêmes les journaux collectés en les vendant sur des marchés clandestins (Dark Web). Ils peuvent également voler des crypto-monnaies des portefeuilles crypto sans intégrer une équipe organisée. Néanmoins, d’après nos observations, rejoindre une équipe est largement privilégié par les traffers, car il comporte de nombreux avantages, pour n’en citer que quelques-uns :

• L’expérience n’est pas obligatoire – les nouveaux arrivants sont accueillis et formés ;
• Les outils nécessaires sont accessibles et prêts à l’emploi – les traffers n’ont pas de frais supplémentaires liés au logiciels malveillants spécialisés dans le vol d’informations ou à d’autres logiciels ;
• Les traffers capitalisent sur les différents services fournis par leur(s) administrateur(s) d’équipe ;
• Le support technique est garanti;
• Les opérateurs de l’équipe de Traffers monétisent immédiatement les journaux collectés, car les journaux frais et en vrac ont plus de valeur.

Parallèlement, l’intérêt des représentants des équipes de traffers à embaucher un grand nombre de traffers réside dans le fait d’avoir accès à de gros volumes de données fraîches en cumulant toutes les soumissions.

Modus Operandi observé dans les équipes de traffers face aux voleurs 

Les traffers travaillant avec des logiciels malveillants voleurs d’informations sont libres de générer du trafic et de distribuer les versions fournies en utilisant leurs propres méthodes, tant qu’ils respectent les exigences de l’équipe. Chaque traffer met donc en place et exploite sa propre chaîne d’infection.

Cependant, la majorité des équipes de traffers observées par SEKOIA fournissent des outils et des services pour aider leurs membres à générer du trafic à partir de vidéos YouTube. La plupart d’entre eux utilisent donc les outils mis à disposition pour mettre en place leur chaîne d’infection. Cette chaîne d’infection, qui consiste à attirer les utilisateurs d’un site Web ou plateforme légitime (telle que YouTube) pour les rediriger vers le contenu malveillant, est appelée “911” dans l’écosystème de la cybercriminalité.

Dans la partie suivante, nous partageons plus de détails sur les méthodes de propagation courantes utilisées par les traffers, ainsi que sur l’arsenal de logiciels malveillants observé dans la plupart des équipes.

Chaîne d’infection 911

Connue sur les forums de cybercriminalité russophones sous le nom de « 911 », cette chaîne d’infection consiste à livrer la charge utile finale grâce à des comptes YouTube volés pour distribuer un lien de téléchargement. À cette fin, le traffer ou un membre dédié de l’équipe des traffers met en ligne une vidéo sur YouTube incitant l’utilisateur à télécharger une archive, à désactiver Windows Defender et à exécuter son contenu. Dans la plupart des cas observés, la vidéo téléchargée est un tutoriel pour installer un logiciel piraté, un générateur de clé de licence de produit ou même un logiciel de triche pour les jeux vidéo. Le traffer abuse des services de transfert de fichiers légitimes, tels que Mega, Mediafire, OneDrive, Discord ou GitHub, pour stocker la charge utile. Le fichier téléchargé est souvent une archive protégée par un mot de passe qui le rend indétectable, contenant un fichier exécutable qui s’avère être le logiciel malveillant voleur d’informations.

Figure 3. Chaîne d’infection typique du 911

Le téléchargement de ce contenu sur YouTube nécessite de contourner le système anti-fraude de YouTube. À cette fin, la méthode «911» utilise des proxys pour falsifier l’adresse IP du propriétaire de la chaîne YouTube. Compte tenu de la quantité de données volées passant par les journaux, SEKOIA estime que les équipes de traffers utilisent probablement des informations d’identification YouTube valides et l’adresse IP associée dans les activités de suivi.

Bien que nous ayons observé que cette méthode de livraison est largement exploitée par les traffers, elle est utilisée pour cibler des particuliers plutôt que des entreprises. Certaines équipes de traffers (par exemple, l’équipe Bebra) n’utilisent pas la méthode « 911 ». 

Plusieurs hypothèses peuvent être émises quant au choix de ne pas utiliser la chaîne d’infection 911 : 

• La vente de journaux distribués via le trafic YouTube peut ne pas être aussi rentable que la distribution via d’autres services ou sites Web légitimes, ou les e-mails de l’entreprise. Les utilisateurs attirés sur YouTube sont plus susceptibles d’être des jeunes possédant de petits comptes. Les informations d’identification et les portefeuilles associés (crypto, Paypal ou autres) liés à ces comptes sont probablement de moindre valeur, ils sont moins susceptibles de susciter l’intérêt principal des équipes de traffers.
• D’autre part, YouTube offre une large audience et un volume de trafic élevé. Il est presque certain que la chaîne d’infection du 911 est un choix orienté sur la quantité de trafic, plutôt que sur la qualité.
• La diffusion de charges utiles sur un canal ouvert, comme YouTube, est susceptible de réduire la durée de vie de la version du logiciel malveillant ou du serveur C2. Chaque étape de la 911 est accessible au public. Il est donc évident de graver rapidement les builds des malwares et les serveurs C2 des voleurs d’informations.
• La distribution de logiciels voleurs d’informations à l’aide de la chaîne d’infection 911 peut entraîner un faible taux d’infection. Convaincre les utilisateurs de télécharger et d’installer un logiciel cracké depuis un site non officiel après avoir désactivé leur antivirus ne serait efficace que sur des cibles moins sensibilisées.

Autres chaînes d’infection courantes

Parmi les autres méthodes de diffusion courantes, citons les sites Web se faisant passer pour des blogs ou des pages d’installation de logiciels pour fournir des archives protégées par mot de passe. Certaines équipes de traffers affichent une bonne connaissance de Google Ads, Facebook Ads, Reddit Ads ou d’autres plateformes publicitaires pour promouvoir leurs sites Web et toucher un public plus large grâce à l’indexation sur les moteurs de recherche. De telles campagnes sont souvent mises en lumière car elles touchent de nombreuses victimes.

Enfin, les e-mails de phishing restent l’un des vecteurs d’intrusion les plus couramment utilisés par les traffers. Comme l’ont fait précédemment Initial Access Brokers pour améliorer les performances de diffusion des logiciels malveillants, les traffers ont adapté leur chaîne d’infection, passant des macros Office VBA, désormais désactivées par défaut, à l’utilisation de fichiers LNK.

L’arsenal de malwares des équipes de traffers

Sur la base des données collectées dans la section “traffers” (Трафферы) sur Lolz Guru, SEKOIA a établi la liste des malwares voleurs d’informations les plus utilisés par les équipes de traffers. Pour cela, nous avons collecté les publications de nouvelles équipes de traffers entrant dans le business du vols d’informations entre janvier et mi-août 2022. Les résultats sont les suivants :

Redline	54
Meta	8
Raccoon	6
Vidar	5
Private Stealer	4

Voici une chronologie des équipes de traffers nouvellement créées depuis début 2022 :

Figure 4. Les équipes de traffers nouvellement créées et leur voleur d’informations associé, par mois en 2022 (Source : forum Lolz Guru, section « Traffers »)

Redline

La majorité des équipes de traffers observées par SEKOIA sur les forums distribuent la Redline voleur d’informations, y compris Bandana Team, Tigers Team, Cosmo Team, Sky Team, White Logs, Hydra Family, Heartless Team. Considéré par les acteurs de la menace expérimentés comme le meilleur logiciel voleur du marché, Redline offre de larges capacités de téléchargement et d’exécution, ainsi que des capacités de vol ciblant :

• Les navigateurs Web, les portefeuilles de crypto-monnaie, 
• Les données du système local et plusieurs applications (VPN, jeux vidéo, messagerie et autres).

Ses journaux (données volées) sont vendus sur plusieurs places de marché. Des outils personnalisés pour extraire des informations d’intérêt sont également développés et vendus sur des forums clandestins (Dark web). La réputation de Redline est même utilisée comme un atout par l’équipe pour recruter de nouveaux traffers.

D’un point de vue opérationnel, le logiciel malveillant Redline, qui est le logiciel utilisé pour compiler un nouvel échantillon du malware, permet facilement aux opérateurs de l’équipe des traffers d’associer une version Redline à un traffer. Ce qui facilite le suivi des données volées par chaque membre. Cette association est possible car un nom de botnet unique est inclus dans l’échantillon distribué par un traffer. Cette fonctionnalité permet à SEKOIA de suivre les traffers dont le profil Telegram est utilisé pour le nom du botnet et d’associer les versions de logiciels malveillants aux profils Telegram.

Meta

Comparé aux autres voleurs mentionnés ci-dessus, Meta Stealer est un nouveau venu dans le monde “Stealer-as-a-Service”. Lancé en mars 2022, Meta est annoncé comme une version mise à jour de Redline, avec les mêmes fonctionnalités principales. Il est désormais le voleur préféré de quelques équipes de traffers, dont EverMoon Team, Gezzie Team, Lucky Team, TraffProject Team.

Raccoon

Raccoon Stealer 2.0 revient après quelques mois de pause. Comme partagé dans notre analyse de cette menace, Raccoon cible les navigateurs Web, les applications de bureau et les extensions pour les portefeuilles de crypto-monnaie et les données des systèmes locaux. Cela permet également à l’attaquant de télécharger et d’exécuter une autre charge utile.

Vidar

Bien que peu utilisé dans les équipes de traffers surveillées par Sekoia.io, Vidar Stealer est utilisé par Bebra Team, l’équipe avec la communauté la plus active observée sur le forum Lolz Guru. Comme pour les trois précédents, Vidar collecte des informations sensibles à partir de navigateurs Web, d’applications et d’extensions de crypto-monnaie, ainsi que de fichiers provenant de systèmes locaux dont l’extension correspond à celles répertoriées dans la configuration. Le logiciel malveillant se comporte également comme un chargeur en téléchargeant et en exécutant des charges utiles.

Bien que la chaîne d’infection du 911 ne soit pas très avancée, les traffers qui l’utilisent ciblent un public important grâce à la plateforme YouTube, classée dans le top 5 des sites Web les plus visités au monde. Le trafic généré via cette méthode entraîne donc de nombreuses compromissions de la part des voleurs Redline, Meta, Raccoon et Vidar. Les victimes peuvent être touchées par le vol d’argent, de données sensibles, de comptes d’entreprise et privés, le vol d’identité ou d’autres conséquences en cascade.

Plus loin dans le rapport, SEKOIA partage des directives générales pour éviter d’être infecté par un voleur d’informations ou pour atténuer la menace.

Conclusion

Les traffers sont des acteurs de la menace jouant un rôle clé dans l’augmentation de la surface de la menace, et plus généralement dans la génération de trafic non légitime. Bien que le concept de traffers ne soit pas nouveau, il est probable que leur utilisation de logiciels malveillants voleurs d’informations se poursuivra à court terme. De plus, comme ce modèle offre de faibles barrières à l’entrée et un retour sur investissement rapide, davantage d’équipes de traffers émergeront très probablement dans un avenir proche. 

Les équipes de traffers qui traitent avec les logiciels voleurs d’informations sont des structures organisées et gérées de manière centralisée dans lesquelles les ressources et les services sont mis à la disposition des membres par les administrateurs de l’équipe. Cela permet aux traffers de se concentrer sur la distribution des versions de logiciels malveillants de l’équipe. Ils utilisent dans la plupart des cas la chaîne d’infection 911. Celle-ci leur permet de gagner de l’argent directement grâce au journaux générés à partir d’infections réussies.

Les analystes de SEKOIA continueront de surveiller la menace des traffers et partageront les dernières tendances avec nos clients. De plus, nous surveillons les voleurs émergents ou déjà établis pour fournir des renseignements exploitables à nos clients, y compris des indicateurs de compromission pour plusieurs familles de logiciels malveillants voleurs d’informations.

Comment atténuer la menace ?

Comprendre comment les voleurs d’informations sont distribués et comment ils fonctionnent est la première étape pour protéger le système d’information d’une entreprise ou d’un particulier contre cette menace.

Voici quelques directives générales pour éviter d’être infecté par un logiciel voleur d’informations :

• Limitez l’installation de logiciels à des référentiels de confiance : les traffers abusent de faux logiciels piratés pour propager des voleurs d’informations. Appliquez une politique d’exécution logicielle stricte pour empêcher les utilisateurs de télécharger des logiciels malveillants déguisés en faux installateurs de logiciels.
• Utilisez un logiciel de protection des terminaux pour mettre automatiquement en quarantaine les fichiers exécutables malveillants.
• Formez les utilisateurs à être conscients des menaces de phishing et évitez de cliquer sur les fichiers joints ou les liens en cas de doute.
• Bloquez le trafic sortant sur les ports non standard.
• Chassez ou bloquez les indicateurs de compromission (IoC) liés au voleur.

Si la prévention ne suffisait pas, une compromission réussie conduit souvent à la collecte et à l’exfiltration d’informations sensibles de l’hôte infecté. Dans ce cas, nos recommandations d’atténuation sont les suivantes :

• Isolez la machine infectée et supprimez la menace.
• Effectuez une analyse anti-malware sur l’hôte infecté pour vous assurer qu’aucun mécanisme de persistance n’a été établi sur la machine infectée, ni qu’une autre charge utile a été abandonnée.

• Réinitialisez les mots de passe et les cookies de session, bloquez les cartes de crédit. Si les mots de passe sont stockés dans les navigateurs web, il est absolument nécessaire de les renouveler, il en va de même pour les cookies de session. Si les données de carte de crédit sont enregistrées dans les navigateurs Web, contactez la banque pour bloquer les cartes de crédit concernées.
• Prendre les mesures appropriées pour limiter les conséquences d’une fuite de documents sensibles localisés sur l’hôte infecté.

Annexe

Annexe 1 – Concepts de base utilisés par les traffers

Liste de quelques concepts de base couramment utilisés par les traffers dans leurs activités quotidiennes :

• Construire (« билд » en russe) – un échantillon de voleur lié au compte Telegram du traffer, pour rassembler tous les journaux collectés sur son bot Telegram ;
• Crypter (« крипт » en russe) – un logiciel utilisé pour le cryptage d’un fichier malveillant pour échapper à un antivirus ;
• Installs (« инсталлы » en russe) – une méthode pour obtenir des journaux en incitant l’utilisateur à télécharger un fichier malveillant. Les installations sont généralement développées au sein d’une équipe de traffers et partagées entre les membres de l’équipe ;
• Analyse des journaux (du russe « чек логов ») – le processus de vérification des journaux pour identifier et trier les journaux d’intérêt en fonction d’une requête donnée. Cela peut être fait manuellement ou automatiquement, avec des logiciels open source, payants ou sur mesure ;
• Traitement des journaux (du russe « отработка логов ») – le processus d’analyse des journaux, également utilisé pour désigner l’exploitation des journaux ;
• Temps de frappe (du russe « отстук ») – un terme utilisé par les traffers et les administrateurs d’équipe pour qualifier la rapidité avec laquelle un journal est reçu par un traffer après la distribution d’une construction. Ce terme est utilisé pour souligner le taux d’exécution réussie d’un malware ;
• 911 – terme utilisé pour désigner une chaîne d’infection consistant à prendre le contrôle d’une chaîne YouTube.

Annexe 2 – Présentation de l’organisation et de l’évolution de l’équipe Reimann

Ce cas illustre l’évolution de l’équipe très active de traffers Reimann Team et de son organisation interne.

L’équipe Reimann est annoncée sur le forum Lolz Guru depuis mai 2022. Son représentant sur le forum a déclaré que le groupe était actif depuis au moins début 2021 et il est presque certain qu’il l’est toujours.

Figure 5. Publicité visant à recruter des traffers dans l’équipe Reimann (Source : forum Lolz Guru)

L’équipe Reimann recrute actuellement de nouveaux traffers et propose aux membres de son équipe le kit de ressources suivant :

• Bot Telegram pour la collecte de journaux
• Bot Telegram pour l’analyse des journaux
• Une douzaine de Telegram chats et groupes pour le support technique
• YouTube Uploader
• Services de référencement et constructions automatisés
• Un manuel du traffer

Figure 6. Exemple d’interaction d’un utilisateur avec le bot Telegram de l’équipe Reimann. Le nombre de logs collectés par chacun des traffers et par l’ensemble de l’équipe de traffers est affiché, ainsi que les revenus générés par chaque membre de l’équipe à un moment donné. (Source : forum Lolz Guru)

L’équipe Reimann a deux approches différentes pour payer ses membres :

• les traffers peuvent soumettre tous les logs collectés à l’administrateur de son équipe et être ensuite payés au nombre de logs ;
• Les traffers peuvent choisir de conserver une partie des logs collectés pour les exploiter eux-mêmes ;
• Les traffers peuvent obtenir 70 % des revenus une fois que l’équipe a exploité ses journaux.

Pour encourager un haut niveau d’activité, son administrateur organise des quêtes et des défis et alloue des bonus.

Figure 7. L’avis d’un traffer de la Reidmann Team sur le forum Lolz Guru : « Je travaille maintenant depuis quelques mois, et pendant ce temps j’ai déjà reçu environ 100 000 roubles » (l’équivalent de 1 350 euros à la date de publication) (Source : Forum Lolz Guru)

Pour monétiser les journaux reçus, les représentants de l’équipe les vendent via un marché appelé « Reimann Logs ». Ils récupèrent donc les grumes obtenues par les traffers et les revendent sous 7 jours. Les journaux de Steam, Minecraft et Roblox sont particulièrement mentionnés. 

Annexe 3 – Exemple de chaîne d’infection 911

Pour illustrer la chaîne d’infection 911 décrite dans le rapport, voici une campagne de diffusion du voleur d’informations Redline utilisant cette méthode, telle que réalisée le 18 août 2022.

Étape 1

L’utilisateur recherche un tutoriel pour télécharger gratuitement Photoshop sur Youtube. Pour reproduire cela, nous avons entré «téléchargement gratuit de photoshop» dans la barre de recherche.

Figure 8. Résultats de la recherche « photoshop free download » sur YouTube au 18 août 2022

hxxps://www.youtube[.]com/results?search_query=photoshop+free+download

Les premiers résultats sont très récents car les vidéos ont été publiés quelques heures ou quelques jours plus tôt. Ils ont tous été téléchargés sur des comptes YouTube volés et ils contiennent tous un lien de téléchargement et un mot de passe dans la description.

Étape 2

Le contenu de la première vidéo décrit comment installer la version prétendument gratuite de Photoshop à travers les étapes suivantes :

• Téléchargement de l’archive ;
• Désactivation de la « protection en temps réel » de Windows pour l’antivirus Microsoft Defender ;
• Extraction de fichiers de l’archive protégée par mot de passe à l’aide du mot de passe « 5105 » ;
• Exécution en tant qu’administrateur du fichier exécutable.

Figure 9. Tutoriel pour installer la version prétendument gratuite de Photoshop

hxxps://www.youtube[.]com/watch?v=7A-yeYc63NY

La description de la vidéo YouTube contient un lien vers une page Web de télégra[.]ph et un mot de passe .

Étape 3

La vidéo a été téléchargée sur le compte YouTube volé « DJ STYLE Tv » avec plus de 400 000 abonnés. Le propriétaire légitime du compte utilisait encore ce compte deux semaines plus tôt pour partager des mix musicaux.

Figure 10. Compte YouTube 400k sur lequel le tutoriel a été téléchargé

hxxps://www.youtube[.]com/channel/UCSdTq3mF_zRDyJCR1jxAANw

Étape 4

L’utilisateur est redirigé sur une page Web de télégra[.]ph après avoir cliqué sur le lien dans la description. La page Web contient un lien MediaFire et encore une fois le mot de passe « 5105 ».

Figure 11. Page web Telegra[.]ph mentionnée dans la description de la vidéo YouTube

hxxps://telegra[.]ph/Photoshop-08-17-3

Etape 5

L’utilisateur est maintenant redirigé vers le site MediaFire, sur une page de téléchargement d’un Archive RAR nommée «photoshop.rar».

Figure 12. Archive « photoshop.rar » hébergée sur MediaFire

hxxps://www.mediafire[.]com/file/byq6aromyp6y5je/photoshop.rar/file
hxxps://download2294.mediafire[.]com/vd7oeq9fu5pg/byq6aromyp6y5je/photoshop.rar

L’archive RAR a été téléchargée sur MediaFire depuis la Fédération de Russie, la veille.

Étape 6

À ce stade, l’utilisateur télécharge l’archive protégée par mot de passe et suit les instructions de la vidéo YouTube pour désactiver la protection Windows Defender, décompresser l’archive «photoshop.rar» et exécuter le fichier exécutable «photoshop.exe».

Figure 13. Contenu de l’archive protégée par mot de passe “photoshop.rar”

photoshop.rar SHA256 462524577af8eb243217386c635682108a17f617d22299492310c1a05605c629
photoshop.exe SHA256 7be64a3fd654b4217c6cf82e6de8fa45e30555b58e7422d77ab49da2f6a10a57

Lorsqu’il est exécuté sur un environnement surveillé par Sekoia.io XDR, le fichier est identifié comme Redline et YTStealer selon SEKOIA.IO CTI. Le serveur Redline C2 est 185.200.191[.]18:80. 

Les indicateurs sont disponibles sur notre portail public :

• IoC lié au réseau sur SEKOIA.IO

• IoC lié aux fichiers sur SEKOIA.IO

Lire aussi :

• XDR vs Ransomware
• Deux parfums de XDR