L'acteur menaçant YoroTrooper a compromis les comptes d'agences de santé critiques de l'UE, de plusieurs ambassades et de l'Organisation mondiale de la propriété intellectuelle (OMPI).
Un rapport Cisco Talos (via BleepingComputer) a révélé que de grandes quantités de données, telles que des informations d'identification, des cookies et des historiques de navigation, ont été volées à partir de divers terminaux infectés.
Il s'agit notamment de celles détenues par des agences gouvernementales et des sociétés énergétiques de pays faisant partie de la Communauté eurasienne des États indépendants (CEI).
Activité de menace unique YoroTroper
Bien que BleepingComputer note que YoroTrooper était auparavant connu pour diffuser des logiciels malveillants connus sous le nom de PoetRAT et LodaRAT, Cisco pense qu'il a ensuite conçu ses propres chevaux de Troie d'accès à distance (RAT) écrits en Python pour faire le travail.
À l'été 2022, des organisations biélorusses ont été affectées par des fichiers PDF infectés envoyés à partir de domaines de messagerie prétendant être des organisations en Biélorussie ou en Russie. En septembre de la même année, YoroTrooper a enregistré des domaines de typosquattage pour ressembler le plus possible aux agences gouvernementales russes.
Plus d'informations > Les pirates russes exploitent une faille inconnue dans Outlook depuis près d'un an.
> Les services de renseignement britanniques se mobilisent contre les cyberespions chinois
> Nous avons également répertorié les meilleurs services de protection contre le vol d'identité à l'heure actuelle.
Cette stratégie est basée sur le fait que les e-mails de phishing de YoroTrooper doivent apparaître aussi légitimes que possible, d'autant plus que leur dernière astuce consiste à joindre des pièces jointes RAR et ZIP infectées pour accéder aux informations de sécurité nationale dans toute la région.
En 2023, le groupe menaçant a évolué rapidement. En janvier, il a commencé à publier un script de vol de données qui extrait les informations d'identification des navigateurs basés sur Chromium, mais en février, il était déjà passé à un nouvel outil modulaire appelé « Stink ».
Le nouvel outil, en plus d'infiltrer le navigateur Chromium et les informations système de base, vole également des données du client FTP Filezilla et des applications de messagerie Discord et Telegram.
Les motivations, les médias et les sponsors de YoroTrooper sont actuellement inconnus, mais le passage à des outils personnalisés pourrait inquiéter le monde de l'entreprise.
- Voici notre liste des meilleurs firewalls du moment