I-TRACING a enquêté sur Editbot : un stealer spécialisée dans la collecte des mots de passe

septembre 2024 par I-TRACING

EditBot pourrait être lié à un autre malware, NodeStealer, signalé plus tôt dans l’année par Meta. Leurs similitudes ont été mises en évidence par Netskope. Même si EditBot semble être une réécriture complète de NodeStealer, quelques similitudes sont significatives :

• Les deux stealers sont développés dans un langage de script (NodeStealer en NodeJS, et EditBot en Python).

• Ils ciblent les mêmes navigateurs (le navigateur vietnamien Cốc Cốc exclu dans NodeStealer).

• Chacun intègre son propre interpréteur de script en raison de l’utilisation de langages de script non déployés par défaut sur Windows.

• Les méthodes de distribution des deux stealers sont similaires.

L’infection initiale se produit par des messages privés envoyés via des comptes de réseaux sociaux tels que Facebook. Rédigé en anglais, le message utilise généralement un faux prétexte basé sur des avis de produits ou des demandes de renseignements pour envoyer des archives compressées à la victime.

Cette archive contient un chargeur de scripts par lots qui récupère une autre archive du serveur de commande et de contrôle (C2), la décompresse et exécute la charge utile finale. La seconde archive est une version portable de Python, avec un script Python spécialisé pour Windows. Ce dernier script lit les secrets des navigateurs les plus courants (Chrome, Bing, etc.) et les exfiltre vers un canal Telegram ou Discord appartenant à l’attaquant.

L’équipe CTI I-TRACING a mis la main sur des messages malveillants envoyés par l’attaquant sur les plateformes de réseaux sociaux. Ces messages, provenant d’un contact inconnu, étaient brefs, rédigés en bon anglais, et n’appelaient pas de réponse car la charge utile était envoyée directement.

Selon Cyble, avant décembre 2023 les cybercriminels, qu’ils soient utilisateurs ou aux commandes d’EditBot, recourraient à diverses méthodes de distribution et affichaient une préférence pour les principales plateformes open-source.

A partir de décembre 2023, I-TRACING a observé que plusieurs serveurs étaient hébergés par dichvudark[.]vn, un fournisseur d’hébergement vietnamien ne répondant pas aux demandes de retrait de contenu illicite. Ces serveurs fournis par diverses entreprises d’hébergement étaient changés environ toutes les deux semaines.

Lorsque le script est rendu lisible, la lecture révèle que ce malware utilise l’API Windows. En tant que tel, il ne peut fonctionner correctement que sur Windows même si Python est nativement multi-plateformes.

I-TRACING constate aussi que les cybercriminels derrière le stealer EditBot ont copié du code à partir d’autres sources. En effet, certains commentaires associés à la routine de déchiffrement des mots de passe sont écrits en français alors que tous les autres textes utilisateur sont en vietnamien.

EditBot vise presque exclusivement l’exfiltration des mots de passe et des cookies des navigateurs. Il prend en charge Google Chrome, Mozilla Firefox, Edge, Opera, Brave ainsi que d’autres navigateurs comme Chromium et Cốc Cốc, un navigateur vietnamien. Il collecte également l’adresse IP publique de la victime et des informations système.

Les données sont déchiffrées pour chaque navigateur puis rassemblées dans un fichier zip, ensuite envoyé à un bot Telegram. L’identité du bot change à chaque campagne bimensuelle. Étonnamment, malgré une obfuscation peu sophistiquée, le taux de détection du malware reste faible. Et selon Gardio, il n’a pas beaucoup changé depuis le premier signalement en septembre 2023.