MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
KeyCat, l’infostealer multiplateforme à 40 $ qui démocratise le cybercrime via Telegram.Les chercheurs de Flare, référence du Threat Exposure Management, ont dévoilé les détails d’une nouvelle menace nommée KeyCat, un infostealer et outil d’accès à distance (RAT) multiplateforme. Vendu pour seulement 40 $ avec des vidéos tutoriels, KeyCat permet à des acteurs peu expérimentés de déployer des campagnes de vol de données à grande échelle ciblant à la fois les environnements Windows et Linux. Cette menace illustre la démocratisation croissante des outils cybercriminels.
Selon les recherches de Flare, KeyCat est proposé sous la forme d’un service clé en main. Pour 40 dollars seulement, les cybercriminels peuvent accéder à un infostealer capable de collecter des identifiants, capturer des écrans, récupérer des données Wi-Fi, exfiltrer des fichiers et maintenir un accès à distance sur les machines compromises. KeyCat se distingue par une chaîne d’exécution automatisée en neuf étapes, utilisant Telegram comme canal de commande et de contrôle (C2) et comme point d’exfiltration, une méthode difficile à bloquer car elle exploite une plateforme légitime. Ses principales fonctionnalités incluent :
Extraction de données massive : Vol de mots de passe de navigateurs (via l’outil LaZagne), clés Wi-Fi, clés SSH et documents sensibles (.pdf, .kdbx, .docx, etc.).
Surveillance active : Captures d’écran (Windows et Linux) et capacités de RAT (accès au système de fichiers, webcam, keylogger).
Évasion avancée : Détection de débogueurs et d’environnements virtualisés (QEMU). Sur Linux, le malware se renomme en « [kworker/0:0] » pour imiter un processus noyau légitime.
Persistance robuste : Installation automatique pour survivre aux redémarrages sur les deux systèmes d’exploitation.
L’émergence de KeyCat démontre à quel point les barrières à l’entrée du cybercrime continuent de s’abaisser. Flare observe également que KeyCat est passé d’un projet public à une offre commerciale de type Malware-as-a-Service en moins de deux mois. Comme la plupart des infostealers modernes, KeyCat vise avant tout les identifiants, cookies de session et autres informations permettant l’accès à des comptes personnels ou professionnels. Ces données alimentent ensuite l’économie souterraine des « stealer logs », fréquemment utilisés pour des prises de contrôle de comptes, des fraudes ou comme point d’entrée dans des infrastructures d’entreprise.
La détection de KeyCat est complexe car chaque déploiement peut utiliser un jeton Telegram unique, rendant les indicateurs statiques rapidement obsolètes. Flare recommande aux entreprises de :
1. Surveiller les comportements anormaux de Python : Notamment les processus non-navigateurs communiquant avec l’API Telegram (api.telegram.org).
2. Bloquer les jetons connus : Le jeton 8580574873:AAEpwGPFMGWBDnNfGxwd9XGtl44y0nnDdwk doit être immédiatement bloqué et signalé.
3. Auditer la persistance : Vérifier les clés de registre Windows (ex : « WindowsUpdateService » pointant vers pythonw.exe) et les entrées Cron sur Linux.
