Voici des détails clés concernant ces groupes malveillants :
• RisePro a été repéré pour la première fois en décembre 2022, et est connu pour ses campagnes de propagation via des répertoires GitHub compromis ;
• Rhadamanthys, lancé en septembre 2022, se distingue par ses attaques ciblées contre des organisations via des emails, souvent en utilisant des approches générées par Intelligence Artificielle, comme ce fut le cas pour la campagne de TA457 le mois dernier ;
• Lumma, actif depuis août 2022, utilise des techniques avancées pour échapper à la détection et exploiter des fonctionnalités non documentées pour le détournement de sessions OAuth2.
Le CERT de Synetis commente cette menace : « Les stealers attaquent aussi bien les particuliers que les professionnels afin de fournir aux attaquants des accès à des Systèmes d’Information. Leur modèle économique, qui s’est démocratisé dans le monde cybercriminel, est basé sur le principe du maliciel-en-tant-que-service (MaaS). Cela permet à d’autres groupes cybercriminels de les utiliser sans nécessiter de compétences techniques spécifiques. »

A cela il ajoute : « Les stealers sont capables de voler divers types d’informations - telles que l’historique des navigateurs, les informations auto complétées, les mots de passe sauvegardés, les identifiants liés aux portefeuilles de cryptomonnaie, ou encore des informations systèmes et réseau des victimes. Ils utilisent des serveurs distants pour transférer les données volées, et potentiellement recevoir de nouvelles commandes, leur permettant d’être régulièrement mis à jour avec de nouvelles fonctionnalités. »