La sécurité réseau est devenue un enjeu central dans la lutte contre les logiciels malveillants. Récemment, deux catégories de logiciels malveillants, utilisés par des hackers, se sont retournées contre leurs créateurs. Cette affaire démontre une fois de plus que même les cybercriminels peuvent être victimes de failles, comme ce fut le cas avec des bots Telegram utilisés pour l’exfiltration de données.
L’Exposition Involontaire des Hackers
Des chercheurs de Check Point ont découvert une faille inattendue dans les opérations de deux groupes de hackers utilisant la même méthode pour voler des données à leurs victimes. Ces derniers ont utilisé l’infrastructure de Telegram via l’API de bot pour exfiltrer les données, une technique supposée plus discrète. Toutefois, cette approche a laissé derrière elle des jetons d’accès au bot, permettant aux chercheurs de remonter jusqu’aux auteurs des attaques.
L’enquête a révélé les acteurs derrière deux campagnes malveillantes distinctes : Styx Stealer, un malware de type infostealer proposé en tant que service, et Agent Tesla, un malware bien connu pour voler des informations sensibles.
Styx Stealer : Un Malware avec des Capacités Évoluées
Styx Stealer est apparu en avril 2024 comme un logiciel malveillant en tant que service (MaaS), basé sur Phemedrone Stealer. Il est conçu pour voler des données de navigateur, des portefeuilles de cryptomonnaies, des sessions de services de messagerie et d’autres fichiers sensibles présents sur l’ordinateur des victimes. Ses capacités d’évasion, son interface graphique améliorée et sa fonction de « crypto-clipping » le rendent encore plus redoutable. Cette dernière fonctionnalité permet de remplacer les adresses de portefeuilles de cryptomonnaies copiées dans le presse-papier de la victime, détournant ainsi les transactions vers les portefeuilles des hackers.
Cependant, la véritable faiblesse de Styx Stealer résidait dans l’intégration de l’exfiltration de données via l’API de bot Telegram. Une simple erreur dans le processus a exposé toute l’opération.
Quand Les Hackers Travaillent Ensemble… et Se Trahissent
L’enquête de Check Point a révélé des conversations entre deux hackers : Sty1x, opérateur de Styx Stealer, et Mack_Sant, un utilisateur du malware. Les deux pirates communiquaient via Telegram et échangeaient des conseils sur l’utilisation de l’API de bot pour voler des données. Ironiquement, c’est en déboguant Styx Stealer que Sty1x a accidentellement téléchargé un fichier contenant des informations sensibles sur sa propre opération, permettant aux chercheurs de le démasquer.
Une Erreur Qui Mène à la Chute
Grâce aux informations contenues dans ce fichier, les chercheurs ont pu identifier Sty1x, un cybercriminel opérant depuis la Turquie, et ont découvert qu’il avait 54 clients actifs pour Styx Stealer. Ils ont également identifié plusieurs portefeuilles de cryptomonnaies utilisés pour recevoir les paiements.
L’histoire ne s’arrête pas là : les chercheurs ont également pu relier Mack_Sant à des activités malveillantes en Chine, tout en révélant son identité réelle, Fucos, un autre acteur clé de la campagne Agent Tesla opérant depuis Lagos, au Nigeria.
Les Cybercriminels Ne Sont Pas Infaillibles
Cette affaire souligne que même les hackers les plus expérimentés ne sont pas à l’abri de failles dans leurs propres opérations. L’utilisation de techniques sophistiquées comme l’API de bot Telegram pour l’exfiltration de données peut offrir des avantages en matière de discrétion, mais expose également ces acteurs à des erreurs fatales, comme cela a été le cas ici. En fin de compte, la sécurité réseau reste un domaine où même les pirates doivent constamment évoluer pour ne pas tomber dans leurs propres pièges.
Ce cas spectaculaire met en lumière l’importance de renforcer les pratiques de sécurité réseau et de surveiller de près les nouvelles méthodes utilisées par les logiciels malveillants, car une seule erreur peut renverser des campagnes criminelles entières.
Abonnez-Vous À La Newsletter
Restez informé et sécurisé : Soyez les premiers alertés des nouvelles cybermenaces et accédez à des dossiers complets et des guides pratiques.
