Le FSB repéré sur un forum pirate russe !

Les services spéciaux russe, le FSB, a été repéré sur un forum de pirates. Le service secret a tenté de piégé un hacker. Raté !

Les services spéciaux présumés du FSB ont apparemment tenté d’obtenir l’adresse IP du fondateur de Titan Stealer en utilisant le forum pirate Lolz Team. Comment ont-ils été repéré ? ZATAZ a pu lire que le FSB avait mis en place un faux site du nom de lolzt[.]store. Autant dire que cette méthode se voit comme une grosse mouche sur le nez. Bilan, chaque connexion passant par ce site auraient été interceptées. Le lien lui-même n’est pas sécurisé et permet une analyse du le trafic. Auparavant, le même « internaute » caché derrière cette tentative d’infiltration « bancale » avait effectué un achat auprès d’un autre développeur populaire de stealer.

Le FSB repéré aussi par le FBI américain. Le bureau fédéral ayant mis fin au code malveillant Snake / Turla. Un code malveillant qui aurait été exploité, depuis des années, par les services de renseignement russe.

Titan Stealer est un logiciel malveillant (malware) qui vise à dérober des informations confidentielles sur les ordinateurs infectés. Il s’agit d’un type de programme de vol de données (data stealer) qui cible généralement les mots de passe, les informations d’identification, les clés de cryptomonnaie, les données de navigateurs et d’autres informations sensibles stockées sur les systèmes compromis. Le journal (log) est constitué de données provenant de l’ordinateur de la victime qui a lancé le stealer.

Les pirates visent, en priorité, comme ZATAZ vous le montre sur sa chaîne Youtube, les cookies, les mots de passe, les informations sur le matériel, l’IP, FileGrabber (des fichiers volés, généralement le dossier document : docx, doc, pdf, txt, etc.etc.) ; AutoFills (lorsque vous remplissez quelque chose sur Internet, des options que vous avez déjà saisies (nom de messagerie, etc.) vous sont proposées). Le remplissage automatique.

Titan Stealer

Il était possible de croiser des annonces pour cet outil sur des portails web pirates tel que Gemini Market. Titan Stealer se propage généralement par le biais de campagnes de phishing, de téléchargements de logiciels malveillants déguisés en programmes légitimes ou par l’exploitation de vulnérabilités dans les logiciels. Une fois installé sur un ordinateur, il exécute diverses opérations pour extraire les données souhaitées et les envoyer à un serveur de commande et de contrôle géré par les cybercriminels. L’outil se loue de 150$ à 1000$ par mois. L’une des options les plus folles croisées avec ce stealer : le pirate clique sur le bouton « démarrer », aprés quelques applications sécuritaires (Proxies, etc) et avoir séléctionné un log, proposé par l’outil Titan. Le logiciel va tester l’ensemble des sites inclus dans le log pirate, et les identifiants de connexion volés, pour s’assurer d’avoir accés à l’ensemble des données de la victime. Du clic and hack pour un outil clic and play !

Le code est entièrement écrit en interne (C et C++) ; il propose de s’inviter dans plus de 70 navigateurs ; plus de 70 portefeuilles cryptographiques. Il récupère les fichiers choisis par le pirate, dans la machine de la victime. Il chiffre toutes les données transmises afin de sécuriser la transmission. Ils sont déchiffrés sur le serveur du pirate. A noter qu’une assistance technique est proposée 24h/24.

Les auteurs interdisent l’exploitation de leur logiciel dans des cyber attaques visant des ressortissants des pays de l’ancien bloc de l’Est !

Bref, du marketing de la malveillance aux petits oignons.

Le Service Veille ZATAZ suit ce stealer et ses « clients » depuis plusieurs mois. Dernièrement, les auteurs de ce logiciel pirate ont lancé un concours auprés de leurs utilisateurs. Mission, pour gagner 100$, vanter les qualités du logiciel. A noter que Titan Stealer est Russe et a clairement mis en avant son patriotisme auprés de groupes pirates tels que Killnet.