 |
Assiste.com
| |
Steal stored credentials, usernames and passwords
Steal stored credentials, usernames and passwords
27.11.2023 : Pierre Pinard.
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Voir l'article : Password Stealer
Vos mots de passe intéressent tout le monde !
Les « Password Stealer » sont, comme leur nom l'indique, des outils destinés à voler les mots de passe.
Les « Password Stealer » sont de petits programmes d'espionnage, spécialiés, constituant une sous-famille des spywares.
Les parasites/malveillances de vol de mots de passe portent plusieurs noms de classe selon les éditeurs de solutions de sécurité informatique et les auteurs spécialistes en sécurité informatique. Le terme français le plus logique serait « Voleur de mots de passe », toutefois, dans le monde informatique, c'est « Password Stealer » qui est principalement utilisé. Tous les termes suivants sont synonymes :
- Voleur de mots de passe
- Détecteur de mots de passe
- Renifleur de mots de passe
- Aspirateur de mots de passe
- Capteurs de mots de passe
- Password Stealer
- PasswordStealer
- Spyware PasswordStealer
- Password capture
- Password sniffer
- Steal stored credentials, usernames and passwords
- USB Password stealer - Important : Désactivez l'autorun pour y échapper
Justification
L'un des arguments utilisés pour développer et commercialiser ces outils qui font l'inventaire des mots de passe trouvés dans un ordinateur est la recherche de mots de passe perdus ! Tous les mots de passe y passent, depuis ceux concernant les comptes (bancaires, administratifs, etc. ...) jusqu'aux mots de passe des flux Internet comme ICQ, Yahoo Messenger, MSN Messenger, AOL, outils FTP tools, outils e-Mail tools, etc.
Comportement
Les « Password Stealer » détectent et enregistrent, d'une manière ou d'une autre, les mots de passe utilisés sur un appareil ou diffusés sur une interface réseau. Les « Password Stealer » écoutent tout le trafic réseau entrant et sortant et enregistrent toute instance d'un paquet de données contenant un mot de passe, en HTTP, IMAP (Internet Message Access Protocol), FTP (protocole de transfert de fichier), POP3, TelNet (TN) et autres protocoles comportant des mots de passe.
Un « voleur de mots de passe » installé sur une passerelle ou un proxy peut écouter et récupérer tous les mots de passe circulant sur un réseau, pour autant qu'un protocole non sécurisé (chiffré) soit utilisé (HTTP au lieu de HTTPS, etc.).
Bien que l'on puisse prétende utiliser ce type d'outils en outil de sécurité réseau (pour stocker et restaurer les mots de passe), ils sont essentiellement utilisés par les pirates informatiques à des fins criminelles.
Les « Password Stealer » construisent un journal de tous les mots de passe trouvés sur une machine et les mettent à disposition d'une personne ayant physiquement accès à l'ordinateur attaqué (cas des USB Password stealer) ou les envoient, généralement par un e-mail caché, au voleur. Celui-ci prendra alors de temps de les casser ("cracker") avec des "craking tools" ou, mieux car spécialisés, des Password Cracker).
Symptômes d'activité
Les « Password Stealer » n'ont généralement aucune apparence de fonctionnement et sont totalement silencieux et invisibles.
Comme toutes les malveillances (parasites) les « Password Stealer » peuvent désactiver/tuer le pare-feu, l'anti-malwares et l'antivirus tout en laissant les apparences de ces applications en places (icônes, etc.). Ils peuvent également désactiver le centre de sécurité de Windows et les applications de sécurité de Microsoft (Windows Defender, etc.).
Activités connexes
Enfin, ces outils malicieux permettent à l'attaquant qui a trouvé le moyen de pénétrer l'appareil d'installer des logiciels supplémentaires sur la machine infectée ou injecter la machine en tant que zombie dans un botnet malicieux (attaques de spam, attaques en DDoS, attaques en minage de cryptomonnaie, etc.)
Distribution – Comment je me fais infecter
Les « Password Stealer », comme toutes les malveillances, peuvent être distribués par de nombreux moyens et en utilisant diverses méthodes.
- Les « Password Stealer » peuvent être fourni en paquet cadeau (bundle) avec un logiciel gratuit :
- soit avec le téléchargeur (downloader) de ce logiciel
- soit avec son installeur
- Les « Password Stealer » peuvent être implantés par des drive-by download depuis des mécanismes publicitaires piégés.
- Les « Password Stealer » peuvent se faire passer pour un logiciel de sécurité ou un truc inoffensif et être téléchargeables depuis un lien sur un forum ou un blog ou un courriel (courrier électronique /spam).
- Les « Password Stealer » peuvent être injectés automatiquement à partir de la simple visite d'une page Web piégées.
- Les « Password Stealer » peuvent être injectés par l'exploitation de vulnérabilités logiciel (par exemple : scan de ports suivis de scan de failles suivis d'exploits des failles trouvées).
- Les « Password Stealer » peuvent être injectés par vous-même après avoir été manipulé par Ingénierie sociale
- Etc.
Les infections qui se produisent de cette manière sont généralement silencieuses et se produisent sans que l'utilisateur en soit informé ou sans son consentement.
Responsabilité juridique
Ne jamais oublier que l'utilisateur dont la machine a été pénétrée et est utilisée pour commettre des attaques ou propager des infections à cause de :
- son laxisme à la protéger (antivirus, antimalwares, pare-feu, NoScript, etc.)
- son laxisme à la mettre à jour (updates)
n'est pas une victime mais est juridiquement considérée comme complice (complicité passive) des pirates et hackers. Des jugements en ce sens ont déjà eu lieu.
| Annonce |
