Un virus du nom de "Nocturnal Stealer" cible une vingtaine de navigateur web (c'est le premier virus que je rencontre, qui en cible autant).

Les navigateurs web ciblés par l'attaque:
ChromiumGoogle Chrome, KometaAmigo, Torche, OrbitumOperaComodo Dragon, Nichrome, Navigateur YandexMaxthon 5, Sputnik, Navigateur Epic PrivacyVivaldiCocCocMozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon.


Actuellement distribué sur les forums de piratage du DarkNet (pour un prix dérisoire de 20 euros environ), il a été codé en Delphi (coucou DarkCoderSc :p).

Il cible l'Australie par des vecteur d'infection tel les mails, les URLs.
Toutefois, la menace est pour le moment limité. Pour cause? Un seul acteur a été détecté.


Le virus cherche d'abord a définir si il a été lancé dans une SandBox, une machine virtuel, ou un système "valide".
Si il se sent piéger, il utilise alors des technique d'évasion. (Veillez a mettre a jours vos VM et Sandbox).

Le stealer (voleur) cherche a voler les portefeuilles de cryptomonnaie (28 modèles différent).

Les cryptocurrences ciblées par le stealer:
Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Exodus, Tiret, Litecoin, ElectronCash, ZCash, MultiDoge, AnonCoin, BBQCoin, DevCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin , PrimeCoin, TerraCoin, YACoin.

Il essaie de voler les mots de passe de serveur FTP enregistré dans FileZilla.

Les informations des navigateur Chrome et Firefox (connexions, cookies, données de navigation, données de saisie automatique, cartes de crédit stockés) sont également prélever.

Il enregistre aussi les informations système (adresse IP, ID machine, informations DNS et ordinateur).

Il accomplit également un listing et un enregistrement de tout les processus.

Tout ça est enregistré dans deux fichiers textes; "information.txt" (pour les informations du système) et "passwords.txt" (pour les mots de passe).

 

Le trafic de se virus est très difficile a surveiller, les détection par trafic réseau sont pour l'heure peux envisageable.

Dans le doute, vous pouvez scanner les ports SMTP, FTP etc...

Une fois le vole fait, il supprime un certains nombres de ces traces, et met fin a ces processus, et ce supprime lui même de la machine infecté.

Le but de ce virus est donc de voler rapidement un maximum de données, les transféré, avant de disparaître du système, tout en restant le moins détectable possible.

 

Quelques conseils de sécurité:

Supprimer vos mots de passe enregistré dans vos navigateurs (et perdez cette habitude d'enregistrer ceux-ci), si possible écrivez les sur papier (ce serra toujours plus fiable qu'un fichier texte sur le bureau).
si vous rencontré des problèmes sur vos navigateur, le mieux est de tout réinstaller en veillant a bien vidé les caches avec un videur tel que CCLeaner.


Voici toutefois quelques informations supplémentaire sur le virus.

Signature du launcher:
205def439aeb685d5a9123613e49f59d4cd5ebab9e933a1567a2f2972bda18c3

Signature du virus en lui même:
ae7e5a7b34dc216e9da384fcf9868ab2c1a1d731f583f893b2d2d4009da15a4e

A savoir que le serveur distant (connu a ce jours) est http://nctrnl.us/server/gate.php
Si vous pouvez les bloqué sus vos pare-feux, faites le.

 

Bref, c'est vraiment le Stealer le plus cool que jais rencontré depuis mes débuts en 2012!

Et je dois dire... Que je le trouve super! :3

 

Plus d'informations a venir...