00:00Bonjour, aujourd'hui je vous parle d'un exemple de logiciel malveillant particulier, un cheval de 3, en l'occurrence
00:08Luma Steeler.
00:09Alors comment j'ai pu récupérer ce programme malveillant ?
00:14En surfant sur le web, un site infecté par un script malveillant a déposé ce cheval de 3, Luma Steeler,
00:22sur le disque de mon ordinateur.
00:25L'antivirus l'a détecté rapidement, il l'a mis en quarantaine tout de suite, c'est-à-dire qu
00:30'il l'a déplacé dans un répertoire protégé pour qu'il ne puisse pas être exécuté.
00:36Alors, quelle est cette menace exactement ?
00:39Il vole les identifiants de connexion sur des sites web ou sur des applications.
00:47Il vole les numéros de cartes bancaires, les données de portefeuille, de crypto-monnaie, des documents personnels.
00:55Il récupère aussi des cookies de connexion à des sessions sur des sites web dans les navigateurs.
01:04Il récupère les numéros de cartes bancaires.
01:07Alors, ces informations permettent aux cybercriminels de pirater les comptes, d'usurper l'identité des victimes,
01:13d'extorquer de l'argent et d'effectuer des opérations financières frauduleuses.
01:17Il est capable aussi de mener d'autres cyberattaques ailleurs sur Internet.
01:24Alors, il y a plusieurs articles sur le web qui en parlent,
01:29notamment cet article de Microsoft que vous avez sous les yeux,
01:34où il décrit le comportement de ce cheval de Troie.
01:37Une fois qu'il est installé, Luma Steeler analyse le système de la victime
01:43à la recherche d'identifiants stockés, d'historiques de navigation et de mots de passe enregistrés.
01:50Il cible spécifiquement les navigateurs et les clients de messagerie les plus courants.
01:56Il est capable aussi de pirater des clients de messagerie très courants,
02:02comme Outlook, comme Thunderbird et autres.
02:06Il récolte les informations de connexion pouvant être exploitées à des fins lucratives
02:11ou pour mener d'autres cyberattaques.
02:14Une fois qu'il est installé,
02:18le logiciel malveillant se connecte à un serveur de commande et de contrôle distant
02:23pour transmettre les données volées sur la machine de la victime.
02:29Il utilise aussi des techniques d'obscurcissement pour éviter la détection
02:34par les logiciels de sécurité, notamment les antivirus.
02:39Il peut même tenter de désactiver ces outils de sécurité sur la machine infectée.
02:46Alors j'ai passé ce fichier à l'examen par VirusTotal.
02:53En fait, il se manifestait sur le disque sous la forme d'un exécutable
02:59desktop.3.5.6.exe et VirusTotal l'a détecté 20 fois par 20 logiciels différents.
03:10Vous les avez sous les yeux.
03:12Il y a notamment AVG, McAfee, Sophos, Avas, Bitdefender, Microsoft et Symantec.
03:2220 programmes antivirus l'ont détecté sur 69, ce qui confirme la dangerosité du logiciel.
03:32Parmi les articles qui en parlent, il y a un article de Bitdefender
03:37intitulé « Luma Steeler, le malware voleur d'informations connaît une seconde vie
03:41aux côtés de Castle Loader ».
03:44J'y reviendrai dans une seconde.
03:46Alors cet article parle notamment des modes d'infection de ce cheval de Troie.
03:56Alors, il prétend que les infections sont principalement dues à l'ingénierie sociale
04:01plutôt qu'à l'exploitation de vulnérabilités techniques, c'est-à-dire qu'il utilise
04:06la manipulation ou le mensonge auprès des internautes pour lancer son exécution.
04:17Alors, l'infection repose systématiquement sur le fait que les utilisateurs exécutent
04:22à l'heure ainsi des fichiers infectés en utilisant des leurres tels que des faux logiciels
04:26piratés, c'est-à-dire des logiciels sous licence piratés qui peuvent être installés
04:33sans payer la licence, qui en fait, ces faux logiciels contiennent le logiciel malveillant
04:39en question.
04:39Il peut s'agir aussi de faux jeux, de téléchargements multimédia et en abusant de plateformes
04:47de confiance.
04:48Alors, ils disent aussi que les campagnes récentes ont utilisé des techniques de faux
04:53captcha qui convertissent des interactions web normales des utilisateurs en exécution
04:59directe de commandes pour installer l'Uma Steeler sur la machine.
05:06Et, il y a un autre mode d'infection dont il parle, c'est Castle Lauder.
05:12C'est lui aussi un logiciel malveillant qui permet d'installer le cheval de Troil ou
05:19un Steeler.
05:19Alors, je voudrais ajouter à ça deux autres modes d'infection dont celui que j'ai subi,
05:24c'est-à-dire une page web infectée par un script qui a déposé le programme exécutable
05:30sur le disque et puis il y a aussi des infections par e-mail.
05:35Alors, concernant l'Uma Steeler, pardon, concernant Castle Leader, ce programme tiers, il y a un
05:45article de pcrifx.fr qui en parle et qui explique ce que c'est.
05:50En fait, c'est un chargeur, c'est-à-dire un programme malveillant qui est chargé d'installer
05:56d'autres logiciels malveillants pour provoquer des infections en chaîne.
06:00Et c'est un programme chargeur qui existe depuis au moins début 2025.
06:07Alors, pour en revenir au cheval de Troil-Luma, en fait, il existe depuis 2022 et il y a une
06:16campagne notamment internationale qui a été menée contre ce programme malveillant et
06:21son réseau de distribution par un certain nombre d'organismes.
06:26vous avez l'article sous les yeux de Bitdefender qui en parle.
06:31Il y a notamment Microsoft qui s'en est occupé en collaboration avec des organismes de sécurité
06:38publique comme Europol, le département de la justice américaine et un organisme de sécurité
06:44au Japon et d'autres organismes de sécurité à travers la planète qui se sont occupés en
06:532025, de désactiver le réseau au niveau des domaines, au niveau des serveurs et au niveau
07:01des personnes, des pirates, des cyber pirates.
07:05Alors, si vous voulez en savoir plus, vous pouvez, à propos des shows de Troyes, vous pouvez
07:10aller sur mon site, il y a une page qui est dédiée à ce type de programme et à leurs
07:16différentes catégories.
07:19Voilà, à bientôt !
Commentaires