Un nouveau malware a rejoint il y a quelques semaines, le 3 juillet, le déjà très touffu marché des logiciels espions spécialisés dans le vol des données. Le nouveau venu a été surnommé « Luca Stealer » par Cyble, l’entreprise spécialisée dans le renseignement sur les cybermenaces qui a signalé sa découverte il y a quelques jours.
Et c’est une nouvelle plutôt inquiétante. Car après la publication du code source sur un premier forum de cybercriminels, ce cheval de troie est depuis disponible sur d’autres forums. Il a même son dépôt GitHub où l’on peut trouver des conseils pour l’installation du malware. « Le développeur a probablement dévoilé le code source de son stealer pour se forger une réputation », estime la société Cyble.
En quête de notoriété
A ce sujet, le texte de présentation du malware précise que le développement n’a pris que six heures au développeur, une façon donc de se faire mousser. Autre indice qui montre que l’auteur du logiciel malveillant cherche la notoriété : le GitHub répertorie déjà les premiers articles de presse relatifs au malware.
Cette publication sur GitHub « pourrait conduire à une adoption plus large » du malware, s’inquiète Cyble. La gratuité du nouveau stealer devrait en effet susciter l’intérêt. A titre de comparaison, la même entreprise relevait il y a deux mois que le stealer Eternity était vendu sous la forme d’un abonnement annuel à 260 dollars (soit autant d’euros).
Environnement Windows
Plus globalement, la diffusion du code source d’un logiciel malveillant peut entraîner l’apparition de nouvelles variantes plus perfectionnées. On peut par exemple citer le cas du botnet Mirai. Alors que le botnet originel a déjà six ans, il existe toujours de nombreuses variantes apparues dans la foulée de la publication de son code source.
Le malware Luca Stealer cible pour l’instant seulement les environnements Windows. Codé en Rust, il traque les mots de passe, les portefeuilles de cryptomonnaies et les données de cartes bancaires. Plus précisément, son concepteur affirme qu’il s’attaque à une dizaine de portefeuilles de cryptomonnaies, une trentaine de variantes des navigateurs Chromium, Firefox, à toute une série d’extensions et aux messageries Discord, Element, ICQ et Skype. Les données volées sont ensuite exfiltrées à l’aide d’un robot Telegram ou vers Discord.
