Les chercheurs ont découvert une autre énorme mine de données sensibles, une base de données vertigineuse de 1,2 To contenant des identifiants de connexion, des cookies de navigateur, des données de remplissage automatique et des informations de paiement extraites par des logiciels malveillants qui n’ont pas encore été identifiés.
Au total, les chercheurs de NordLocker ont déclaré mercredi que la base de données contenait 26 millions d’identifiants de connexion, 1,1 million d’adresses e-mail uniques, plus de 2 milliards de cookies de navigateur et 6,6 millions de fichiers. Dans certains cas, les victimes stockaient les mots de passe dans des fichiers texte créés avec l’application Bloc-notes.
La cachette comprenait également plus d’un million d’images et plus de 650 000 fichiers Word et .pdf. De plus, le logiciel malveillant a fait une capture d’écran après avoir infecté l’ordinateur et pris une photo à l’aide de la webcam de l’appareil. Les données volées provenaient également d’applications de messagerie, de courrier électronique, de jeux et de partage de fichiers. Les données ont été extraites entre 2018 et 2020 de plus de 3 millions de PC.
Un marché en plein essor
La découverte intervient au milieu d’une épidémie de failles de sécurité impliquant des ransomwares et d’autres types de logiciels malveillants frappant les grandes entreprises. Dans certains cas, y compris l’attaque de ransomware de mai sur Colonial Pipeline, les pirates ont d’abord obtenu l’accès en utilisant des comptes compromis. Beaucoup de ces informations d’identification sont disponibles à la vente en ligne.
Alon Gal, co-fondateur et CTO de la société de sécurité Hudson Rock, a déclaré que ces données sont souvent d’abord collectées par un logiciel malveillant installé par un attaquant tentant de voler une crypto-monnaie ou de commettre un type de crime similaire.
L’attaquant “essayera alors probablement de voler des crypto-monnaies, et une fois qu’il aura terminé avec les informations, il les vendra à des groupes dont l’expertise est les logiciels de rançon, les violations de données et l’espionnage d’entreprise”, m’a dit Gal. “Ces voleurs capturent les mots de passe du navigateur, les cookies, les fichiers et bien plus encore et les envoient au [command and control server] de l’agresseur.
Les chercheurs de NordLocker ont déclaré que les sources pour les attaquants ne manquaient pas pour sécuriser ces informations.
“La vérité est que n’importe qui peut mettre la main sur des logiciels malveillants personnalisés”, ont écrit les chercheurs. « C’est bon marché, personnalisable et on peut le trouver partout sur le Web. Les publicités sur le dark web pour ces virus révèlent encore plus de vérité sur ce marché. Par exemple, n’importe qui peut obtenir son propre logiciel malveillant personnalisé et même des leçons sur l’utilisation des données volées pour aussi peu que 100 $. Et la coutume signifie la coutume : les annonceurs promettent qu’ils peuvent créer un virus pour attaquer pratiquement n’importe quelle application dont l’acheteur a besoin.
NordLocker n’a pas été en mesure d’identifier le malware utilisé dans ce cas. Gal a déclaré que de 2018 à 2019, les logiciels malveillants largement utilisés comprenaient Azorult et, plus récemment, un voleur d’informations connu sous le nom de Raccoon. Une fois infecté, un PC enverra régulièrement des données volées à un serveur de commande et de contrôle exploité par l’attaquant.
Au total, le logiciel malveillant a collecté les informations d’identification de compte pour près d’un million de sites, dont Facebook, Twitter, Amazon et Gmail. Sur les 2 milliards de cookies extraits, 22% restaient valides au moment de la découverte. Les fichiers peuvent être utiles pour reconstituer les habitudes et les intérêts des victimes, et si les cookies sont utilisés pour l’authentification, ils donnent accès aux comptes en ligne de la personne. NordLocker fournit d’autres chiffres ici.
Les personnes qui souhaitent déterminer si leurs données ont été balayées par le malware peuvent consulter le service de notification de violation Have I Been Pwned, qui vient de télécharger une liste de comptes compromis.
