Son petit nom c’est Aurora Stealer. Il s’agit d’un malware qui – comme son nom l’indique – va voler à peu près tout ce qu’il est possible de voler sur un ordinateur. Nous parlons ici d’argent via plus de 40 types de portefeuilles crypto, mais aussi de mots de passe pour accéder aux comptes de la victime ou usurper son identité. Aurora Stealer fait partie d’une nouvelle vague de virus : les « Malware-as-a-Service ». Il suffit de payer 250 $/mois pour accéder aux différentes fonctionnalités. Chaque petit truand en herbe doit donc rentabiliser son investissement en plaçant des liens contaminés pour piéger ses malheureuses victimes.
In a new twist to #malware distribution, threat actors are using YouTube videos to distribute the Aurora information stealer via "highly evasive" in2al5d p3in4er loader.
AnnonceRead on to learn more: https://t.co/u3K5lFQHJ8#informationsecurity #cybersecurity
— The Hacker News (@TheHackersNews) April 19, 2023
Attention aux liens dans les descriptions YouTube !
Le plus simple est de polluer des vidéos YouTube en utilisant deux techniques. La première consiste à pirater des chaînes plus ou moins connues, de créer une vidéo grâce à l’IA pour promouvoir un logiciel et y placer un lien vérolé en description. Il est aussi possible de gruger des YouTubeurs crédules. Il suffit au pirate de se faire passer pour un commercial qui souhaite vendre un logiciel. Le YouTubeur est rémunéré contre une certaine somme ou est payé au pourcentage (dont il ne verra jamais la couleur) pour placer le lien. Après avoir cliqué sur ce dernier, la victime ne se doute de rien, car la page est rigoureusement identique à celle de l’éditeur.
Les antivirus passent au travers…
C’est là où cela devient intéressant, car le lien de téléchargement ne dirige par directement sur un malware, mais sur un « loader » qui va générer un malware « à la carte » pour sa victime. En utilisant une technique de « process hollowing » – qui va modifier une partie d’un programme « sûr » par une partie contaminée – l’antivirus de la victime n’y verra que du feu. Ici, le loader va utiliser le processus légitime sihost.exe pour acheminer la charge utile du malware sur l’ordinateur.
Ils sont de plus en plus fort les gars de chez Tipiak.
