Un développeur de logiciels malveillants a infecté son propre PC

0

Un développeur de logiciels malveillants a lancé sa création sur son système pour essayer de nouvelles fonctionnalités et les données se sont retrouvées sur une plate-forme de renseignement sur la cybercriminalité, exposant ainsi un aperçu de son travail de cybercriminel.

Le pirate informatique en question est le développeur de Raccoon, un voleur d’informations qui peut collecter des données à partir de dizaines d’applications et qui gagne en popularité depuis deux ans.

Un E-mail et un nom, mais pas assez

Lors du test d’une variante du voleur de données, le développeur de Raccoon a infecté son propre système, ce qui a immédiatement déclenché un flux de données vers le serveur de commande et de contrôle (C2) et vers les forums de cybercriminalité.

Le système de test infecté du développeur de Raccoon a été trouvé via la plate-forme Cavalier de Hudson Rock, une base de données de renseignement sur la cybercriminalité qui surveille les machines compromises.

Alon Gal, co-fondateur et directeur de la technologie de Hudson Rock, déclare que le voleur d’informations Raccoon possède plus d’un million de systèmes compromis qui sont suivis via Cavalier.

Le chercheur a confié que le développeur de Raccoon avait infecté sa machine en Février mais l’infection était passé inaperçu car elle ne présentait aucun intérêt puisqu’il ne s’agissait pas d’une machine appartenant aux clients de l’entreprise.

Il a attiré l’attention grâce à son adresse IP, 1.1.1.1, modifiée volontairement dans le serveur de commande et de contrôle afin que la vraie ne soit pas capturée, explique Gal. Assez drôle, l’adresse IP est utilisée par le résolveur DNS (Domain Name System) public de Cloudflare.

logiciel malveillant raccoon
source: Hudson Rock

Les données collectées à partir du système auto-infecté montrent que le développeur a testé la capacité du malware à extraire les mots de passe de Google Chrome, un attribut essentiel pour tout voleur d’informations.

Des informations supplémentaires extraites de l’ordinateur de test de Raccoon ont révélé un nom et plusieurs adresses e-mail associées au logiciel malveillant.

Malheureusement, les détails sont insuffisants pour déterminer l’identité du développeur de Raccoon. Gal dit que le créateur du malware « a probablement infecté [la machine] volontairement » et a été assez prudent pour supprimer les détails qui pourraient révéler qui il est avant de déclencher le malware.

Par exemple, les adresses e-mail utilisées pour divers services contiennent soit « raccoon » soit « raccoon stealer», indiquant qu’elles sont utilisées pour la communication avec les clients.

raccoon fuite

Le chercheur a également trouvé le nom de Benjamin Engel, un hacker de Berlin et personnage principal du film de hacker allemand de 2014 « Who Am I« .

D’autres détails tirés du système de test ont montré que la boîte de test du développeur contenait des cookies indiquant la connexion à un forum russophone populaire auprès des principaux groupes de cybercriminels.

Gal a pu comparer l’ID dans le cookie généré lors de la connexion au forum avec l’ID attaché au compte de voleur dans la communauté.

developpeur raccoon
source: Hudson Rock

Bien que les informations collectées de cette manière ne contiennent pas les indices nécessaires pour donner un vrai nom au développeur de Raccoon, cela montre que les cybercriminels peuvent également se tromper et qu’il y a toujours de l’espoir de les prendre au dépourvu.

N’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire