Les chercheurs de Varonis Threat Labs ont découvert un nouveau virus de type infostealer au début de l’année. Baptisé Storm par les experts, le malware est d’abord programmé pour piller toutes les données stockées sur un navigateur, comme vos mots de passe, vos cookies de session et toutes vos données bancaires. Ensuite, il s’étend au reste de l’ordinateur, toujours en quête d’informations. Plus furtif que les autres voleurs de données de l’industrie, le virus est taillé pour passer inaperçu et ne pas déclencher la moindre alerte de sécurité sur l’ordinateur infecté.
A lire aussi : Une erreur de Google met en danger des millions d’internautes
Pillage de données
Une cyberattaque signée Storm débute de manière très classique, par la réception d’e-mail avec une pièce jointe piégée, un logiciel pirate téléchargé depuis un site malveillant, ou un logiciel d’installation mis en avant par une publicité Google. Si la victime commet l’erreur de télécharger le logiciel ou le document, le virus va automatiquement s’installer sur le système.
Une fois actif, Storm passe méthodiquement en revue le contenu de votre ordinateur, à commencer par les navigateurs web. Il va ainsi extraire les mots de passe sauvegardés, les cookies de session, les données de remplissage automatique et les numéros de cartes bancaires enregistrés. Storm inspecte aussi vos dossiers personnels à la recherche de documents sensibles, fouille vos applications de messagerie, dont Telegram, Signal et Discord, et débusque tous les portefeuilles crypto installés. Il vise à la fois les extensions de portefeuilles et les logiciels dédiés aux wallets.
Un mode opératoire qui évolue
Le malware se distingue des autres infostealers du marché criminel en contournant une mesure de sécurité introduite dans Chrome au cours de l’été 2024. En juillet de cette année-là, Google a en effet ajouté une protection intitulée “App-Bound Encryption” dans son navigateur web. Cette défense prévoit que les mots de passe stockés dans le navigateur sont désormais chiffrés. Ils ne peuvent être déchiffrés que par Chrome avec la clé située dans un espace protégé. Cette précaution est censée barrer la route des infostealers.
Malheureusement, Storm parvient à contourner cette nouvelle défense de Chrome. Plutôt que de tenter de déchiffrer les données sur votre machine, au risque de déclencher des alertes de sécurité, il expédie les informations dérobées telles quelles, encore chiffrées, vers des serveurs contrôlés par les pirates. C’est sur les serveurs à distance que l’opération de déchiffrage va commencer. Ce changement de mode opératoire donne l’impression au système que tout est normal. Une fois les données entre leurs mains, les pirates vont se mettre à les déchiffrer ultérieurement, avec des logiciels dédiés. Le déchiffrement des données est susceptible d’aboutir à d’autres cyberattaques dans le futur.
Mais, en fait, les pirates n’ont pas besoin de votre mot de passe pour accéder à vos comptes dans l’immédiat. Ils utilisent simplement les cookies, volés par le malware, pour se connecter à un site web sur lequel vous êtes déjà connecté. En clair, les pirates relancent la même session que celle sur laquelle vous vous trouvez. Storm peut ouvrir une session authentifiée sans jamais saisir votre mot de passe, ni votre code de double authentification. L’authentification multifactorielle, présentée comme le rempart ultime contre les cyberattaques, ne sert à rien dans le cadre de cette attaque.
À lire aussi : Le VPN préféré des cybercriminels a été démantelé, et tous ses utilisateurs « identifiés »
Un virus vendu par abonnement
Storm est vendu sur des forums spécialisés par le biais d’un abonnement. Selon les investigations de Varonis, les pirates demandent 300 dollars pour une démo d’une semaine, 900 dollars par mois pour une licence solo, jusqu’à 1 800 dollars mensuels pour une licence permettant à 100 opérateurs de travailler en même temps. Bref, c’est un véritable outil de piratage à l’échelle industrielle.
Au moment de l’analyse des chercheurs de Varonis Threat Labs, le tableau de bord de Storm recensait déjà 1 715 victimes dans des dizaines de pays, avec des identifiants volés sur Google, Facebook, Coinbase, Binance et bien d’autres plateformes. La meilleure défense contre Storm reste de réduire la durée de vie de vos sessions. Videz régulièrement vos cookies de navigateur, ou configurez votre navigateur pour le faire automatiquement à chaque fermeture. Cette pratique évite de conserver des cookies de session trop longtemps, coupant l’herbe sous le pied des cybercriminels.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Varonis
