Au cours des derniers mois, une campagne d'infostealer REMUS qui, au-delà de son code, révèle une tendance inquiétante: les opérations criminelles deviennent des plateformes commerciales professionnelles. L'analyse technique a montré des similitudes avec le Lumma Stealer et des capacités telles que les contrôles anti-VM, le vol de cookies et les jetons de navigateur; mais en observant les forums et publications de l'opérateur, vous pouvez voir quelque chose de plus pertinent pour les défenseurs et les responsables de la sécurité: une feuille de route claire, des versions, le support client et des mesures opérationnelles qui font des logiciels malveillants un service continuellement développé.
Ce qui distingue REMUS, ce n'est pas seulement l'extraction des titres de compétence traditionnels, mais la hiérarchisation des priorités. sessions authentifiées et artefacts du navigateur(cookies, jetons, extensions IndexedDB). Cette approche permet aux attaquants de réutiliser l'accès déjà validé, souvent en évitant les contrôles tels que les anomalies de MFA ou de connexion, et donc les sessions volées sont devenues une monnaie de grande valeur sur le marché clandestin. Flare et d'autres observateurs ont documenté comment l'acteur ajoutait des fonctions de « restauration » et de soutien par procuration pour maintenir et réutiliser les sessions volées (source : Feu).
D'un point de vue opérationnel, REMUS illustre la fragmentation de l'écosystème MaaS : les développeurs, les opérateurs et les distributeurs peuvent se spécialiser et mettre à l'échelle des campagnes avec des panneaux de gestion, un suivi des « travailleurs » et des filtres pour prioriser les logos précieux. Cette division du travail accroît la persistance et la capacité de monétiser les données à long terme et réduit les frictions techniques pour les acheteurs sans connaissances avancées, ce qui augmente le risque pour les organisations de toutes tailles.
Les répercussions sur la sécurité des entreprises sont claires : pas assez pour protéger les mots de passe. Les systèmes qui ne reposent que sur des identifiants statiques ou des MFA qui peuvent être omis par la restauration de session sont vulnérables. Des plateformes spécifiques telles que Discord, Steam, Riot ou Telegram-linked services apparaissent à plusieurs reprises dans les rapports pour la valeur opérationnelle de leurs sessions, qui affectent les compagnies de jeux, les communautés en ligne et les services avec économie interne.
Concrètement, la réaction défensive doit combiner des contrôles techniques, politiques et de détection active. Techniquement, il est essentiel d'appliquer des attributs de cookies sûrs (HttpOnly, Secure, SameSite), de réduire la persistance des jetons, d'utiliser des jetons liés aux appareils et de préférer des mécanismes d'authentification modernes tels que les clés FIDO2 ou matérielles; les recommandations officielles de sécurité de l'identité, comme celles du NIST sur l'authentification, sont un bon point de départ ( NIST SP 800-63B).
Pour la détection et la médiation: mettre en œuvre la surveillance des sessions actives et des alertes de changement de contexte (IP, géolocalisation, empreintes digitales du navigateur), invalider les jetons en présence de soupçons et offrir des flux de réauthentification obligatoires si la restauration à partir de proxys ou de dispositifs inconnus est détectée. Les solutions EDR et les plateformes de protection du navigateur peuvent aider à détecter et bloquer les pilotes, la cryptographie et les exécutions suspectes utilisées pour déployer des voleurs.
Dans le domaine du mot de passe et de la gestion des gestionnaires, il ne suffit pas de se fier à l'extension du navigateur: encourager l'utilisation de gestionnaires ou d'applications natifs avec un chiffrement fort protéger l'accès aux pare-chocs avec MFA et envisager des politiques qui réduisent le risque d'exposition de la BD indexée et d'autres entrepôts locaux. L'équipement du produit devrait examiner les pratiques qui stockent les références ou les jetons dans le client et migrer vers les mécanismes côté serveur avec des jetons éphémères chaque fois que possible.
L'intelligence des menaces et la surveillance des marchés clandestins ont également pris de l'importance: savoir quelles données sont vendues et détecter les fuites précoces peuvent faire la différence. Les outils qui collectent et analysent les registres des voleurs permettent aux organisations d'identifier les expositions avant qu'elles ne soient utilisées à des fins de fraude ou d'accès persistants; les rapports publics sur REMUS et son évolution, comme l'analyse communautaire, aident à contextualiser les tactiques et les objectifs (exemple technique en anglais seulement). SOC Prime).
Enfin, la gouvernance et la formation restent décisives. Les entreprises devraient revoir les politiques de session, limiter les privilèges par défaut, faire pivoter régulièrement les références critiques et former les utilisateurs aux risques d'hameçonnage et aux vecteurs de livraison des voleurs. S'il y a suspicion d'engagement, la priorité est de réduire la persistance : révoquer les séances, faire pivoter les clés, analyser les conducteurs et coordonner avec les fournisseurs d'identité et de sécurité pour atténuer l'impact.
REMUS rappelle que la sécurité moderne exige plus de réflexion sur le cycle de vie de l'accès que le mot de passe lui-même : les opérations criminelles sont professionnalisées et cherchent à maximiser l'utilité de chaque donnée volée. Adapter les contrôles techniques, les processus de réponse et les modèles de détection à cette réalité est la meilleure défense contre cette nouvelle génération d'infostealers.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...