© Clubic
© Clubic

Soudainement apparu en 2022, le malware Aurora s'est très rapidement fait une place aux côtés de Racoon, Lumma et Redline. On apprend aujourd'hui que ce dernier utilise désormais YouTube pour accéder à nos informations.

Sans surprise, les pirates utilisent des liens de description pour attirer les utilisateurs dans leur piège.

Les liens malveillants sont en description

Vous avez peut-être l'habitude de consommer des vidéos sur YouTube et d'entendre vos vidéastes vous renvoyer vers la description, où vous retrouverez les liens d'affiliation ou les sources utilisées. Dans la plupart des cas, ce sont des liens tout à fait officiels, mais depuis quelques semaines, certains liens cachent en réalité un loader permettant au malware Aurora Stealer de venir voler vos informations.

La faille a été repérée par les chercheurs de la société Morphisec, dont les conclusions ont été partagées avec The Hacker News. Les spécialistes ont donc identifié un loader dénommé In2al5d p3in4er (lire « Invalid Printer »), qui est compilé avec Embarcadero RAD Studio et qui vise les postes de travail en utilisant une technique « anti-machine virtuelle » avancée. En cliquant sur les liens de description infectés, les victimes sont redirigées vers des sites leurres qui les incitent à télécharger Aurora par l'intermédiaire d'un logiciel présenté comme légitime.

Une fois chargé sur le système, Aurora cherche les informations sensibles et les vole. En parallèle, les chercheurs indiquent que l'utilisation d'Embarcadero RAD Studio permet à Aurora de générer des exécutables pour plusieurs plateformes et ainsi d'échapper à la détection. Comme toujours, on vous invite à faire preuve d'une grande prudence quand vous cliquez sur ce genre de liens.

© Morphisec
© Morphisec

Un malware au succès fulgurant

Aurora est l'un des malwares voleur d'informations les plus performants et pourtant, il est un peu sorti de nulle part. Pendant des mois et des années, le secteur a été dominé par Redline et Racoon, qui bénéficient d'un développement continu et qui s'améliorent pour s'adapter aux nouvelles mesures de sécurité. Désormais, il faut aussi compter sur Aurora, qui passe par de faux sites, les réseaux sociaux ou les plateformes de diffusion et partage de vidéos.

D'abord présenté et utilisé comme un botnet relativement polyvalent, Aurora s'est ensuite mué en voleur d'informations facile à utiliser et à intégrer. Vendu 250 dollars par mois ou 1 500 euros à vie, le malware est principalement utilisé pour dérober les mots de passe et ensuite permettre le piratage des comptes existants sur les sites d'e-commerce ou les portefeuilles de crypto-monnaies.