Le rapport Rising Threat of Traffers, compilé par l’équipe Threat Intelligence d’Outpost24, KrakenLabs, propose une plongée en profondeur dans l’écosystème du vol d’informations d’identification et encourage les organisations à évaluer leurs mesures de sécurité par rapport à ces menaces en constante évolution.

Ces dernières années, le vol d’informations d’identification est devenu une activité cybercriminelle hautement professionnalisée. Le nombre de courtiers d’accès initial (Initial Access Brokers – IAB) a explosé, les groupes de ransomware se sont multipliés, les prix des logiciels malveillants ont augmenté et les traffers ont fait leur apparition.

Les traffers sont des groupes organisés de cybercriminels spécialisés dans le vol d’informations d’identification à l’aide de logiciels malveillants, le plus souvent des voleurs. Pour diffuser ces logiciels malveillants le plus largement possible, ils ont mis en place une structure quasi-industrielle de fournisseurs de produits et de services, ainsi que des marketplaces spécialisées, sous la forme de canaux Telegram, afin de faciliter la vente de ces informations d’identification. 

L’équipe Threat Intelligence d’Outpost24 – KrakenLabs – a surveillé plusieurs groupes de traffers, recueillant des informations sur les forums et les canaux Telegram et analysant des échantillons de logiciels malveillants provenant de différentes sources. Nous partageons nos conclusions dans notre rapport “Rising Threat of Traffers“, qui peut être téléchargé ici gratuitement.

Voici quelques-uns des points les plus marquants, mis en lumière lors de notre enquête visant à comprendre le fonctionnement de ces groupes et leur influence sur le marché de l’usurpation d’identité.

L’anatomie d’une organisation traffer

Les groupes de traffers sont des organisations sophistiquées dont la structure est pyramidale. Au sommet, on trouve les « administrateurs », qui réalisent l’investissement financier initial afin de lancer le groupe. Les administrateurs sont chargés de développer et de tester les logiciels malveillants, de mettre en place l’infrastructure et de recruter des membres pour leur équipe. Plus bas dans la pyramide, on trouve les « traffers », souvent des personnes jeunes ayant des connaissances informatiques de base et peu d’expérience dans ce type d’opération. Ces recrues sont formées à l’utilisation de divers logiciels malveillants ainsi qu’à différentes techniques de vol d’informations d’identification, puis intégrées aux opérations.

Techniques d’infection et stratégie de diffusion des logiciels malveillants

L’objectif principal des équipes de traffers est d’introduire leurs voleurs dans un système cible. Ces groupes utilisent principalement des tactiques d’ingénierie sociale pour atteindre cet objectif. La chaîne de travail d’un groupe de traffers est décrite ci-dessous.

Une recrue trouve un groupe de traffers sur un forum clandestin et contacte l’administrateur pour rejoindre le groupe. Une fois dans le groupe, il télécharge le logiciel malveillant et s’efforce d’infecter le plus grand nombre d’appareils possible. Pour ce faire, il utilise couramment des vidéos YouTube ou des annonces Google proposant des contenus frauduleux.

Une fois le logiciel malveillant déployé, il commence à rechercher des données précieuses sur les systèmes infectés, notamment des informations d’identification, l’historique du navigateur, des fichiers, des informations système (comme la version de Windows et les clés de série), des informations relatives au portefeuille électronique, des mots de passe Wifi, etc.

Il télécharge ensuite les données volées sur des logs clouds dédiés, des canaux Telegram spécifiques sur lesquels les acheteurs peuvent s’abonner et acheter les logs volés. Comme l’a constaté le KrakenLabs d’Outpost24, les frais d’abonnement varient entre 35 $ par semaine et 80 $ par mois et jusqu’à 666 $ pour un accès à vie.

La menace croissante représentée par les traffers

Les trafiquants utilisent la technique bien connue de l’infection par logiciels malveillants afin de collecter des informations d’identification et en tirer profit, mais le schéma par lequel ils atteignent leurs objectifs et leur structure globale sont innovants.

Le développement de ce segment de la cybercriminalité suit la maturation d’autres niches cybercriminelles. Avec la tendance croissante du modèle « as-a-service », l’information est devenue une marchandise et non plus quelque chose que l’on partage gratuitement sur les forums. Les groupes criminels sont prêts à payer pour des services, ce qui signifie qu’ils essaieront d’en tirer le plus grand profit possible.

Le KrakenLabs d’Outpost24 continuera à surveiller ces groupes, leurs activités et leur impact sur le paysage de la sécurité. Nous nous engageons à fournir à nos clients des informations actualisées sur les menaces émergentes et à les aider à rester à l’avant-garde de la défense contre ces menaces.

Téléchargez notre rapport pour obtenir des conseils pratiques sur la manière de protéger les informations d’identification des entreprises et d’éviter les infections par des logiciels malveillants utilisés par les groupes de traffers.