SOC Prime Bias: Élevé

30 Jun 2026 06:54 UTC

StealC et Amadey : Analyse des Voleurs d’Informations et des Services qu’ils Utilisent

Author Photo
SOC Prime Team linkedin icon Suivre
StealC et Amadey : Analyse des Voleurs d’Informations et des Services qu’ils Utilisent
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport examine les activités de StealC, une plateforme d’infostealer en tant que service, et Amadey, un chargeur de malware en tant que service. Les cybercriminels utilisent ces outils pour collecter des identifiants sensibles, des cookies de session et des données liées aux cryptomonnaies, permettant des opérations supplémentaires comme les attaques par ransomware. L’écosystème des menaces repose sur le trafic Web trompeur, l’empoisonnement SEO et les campagnes de phishing pour compromettre les appareils non gérés.

Investigation

L’unité des crimes numériques de Microsoft, en collaboration avec Europol, a mené une perturbation coordonnée contre plus de 200 domaines malveillants et adresses IP de commande et de contrôle liés à StealC et Amadey. Les enquêteurs ont utilisé Microsoft Copilot pour analyser les échantillons de malware, décrypter les chaînes codées en dur et découvrir l’infrastructure de commande et de contrôle intégrée. L’opération a conduit à la mise hors service et à la suspension d’une partie significative de l’infrastructure de support des acteurs de la menace.

Atténuation

Les défenseurs devraient activer la protection cloud et la protection contre les altérations dans Microsoft Defender pour aider à bloquer les variantes nouvelles et évolutives. L’application des règles de réduction de la surface d’attaque peut également réduire l’exposition aux chemins d’infection courants tels que le trafic Web trompeur. De plus, les organisations devraient renforcer la protection des identités et l’hygiène des identifiants pour limiter l’impact des jetons de session volés et des comptes compromis.

Réponse

Lorsque cette activité est détectée, les organisations devraient prioriser la protection des identités et le confinement rapide pour empêcher que les identifiants volés ne soient utilisés pour le mouvement latéral. Les enquêteurs devraient examiner de près les scénarios possibles de contournement de la MFA causés par le vol de cookies de session. Les points de terminaison compromis devraient être isolés rapidement et la télémétrie d’authentification devrait être surveillée pour détecter toute activité inhabituelle impliquant des identifiants d’utilisateur valides.

"flowchart TD step_initial_access{"Accès Initial : T1189 – Compromission par Drive-by & T1674 – Injection d’Entrée (ClickFix)"} step_persistence_amadey["Persistance : T1037.004 – Tâche Planifiée & T1059.003 – Shell de Commande Windows (Chargeur Amadey)"] rules_for_step_persistence_amadey("<b>Nom de la Règle</b> : MsiExec Lancé par un Processus Shell (via cmdline)<br/><b>ID de la Règle</b> : d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Accès aux Identifiants : T1555.003 – Identifiants des Navigateurs Web, T1114.002 – Collecte d’Emails à Distance & T1552.008 – Messages de Chat (Infostealer StealC)"] step_stealth["Évasion de Défense : T1070.010 – Relocaliser le Malware (exécution en crique PowerShell)"] step_exfiltration["Exfiltration : T1041 – Exfiltration via le Canal C2 (transmission de données RC4/Base64)"] step_initial_access –>|conduit_à| step_persistence_amadey step_persistence_amadey –>|permet| step_credential_harvesting step_credential_harvesting –>|puis| step_stealth step_stealth –>|conduit_à| step_exfiltration step_persistence_amadey -.->|détecté_par| rules_for_step_persistence_amadey "

Flux d’Attaque

## Exécution de la Simulation

Prérequis : Le contrôle préalable de Télémétrie & Base doit être réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narratif d’Attaque & Commandes : Un adversaire a réussi à déposer un exécutable malveillant nommé StealC.exe. Pour échapper à la détection par signature simple et tenter de masquer sa routine d’injection, le malware est conçu pour appeler ses fonctions internes en passant le nom des API Windows requises comme arguments de ligne de commande à un sous-processus. Cela simule une approche « Living-off-the-Land » où la ligne de commande elle-même contient les indicateurs de l’intention de réaliser CreateProcessA avec CREATE_SUSPENDED et utiliser ensuite VirtualAllocEx and WriteProcessMemory pour l’injection.

  • Script de Test de Régression :

    # Script de simulation pour déclencher la règle Sigma en imitant les chaînes de commande attendues
    # Remarque : Cela simule la présence des chaînes, pas l'exécution réelle des API.
    
    $malwareName = "StealC.exe"
    $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory"
    
    Write-Host "[+] Démarrage de la simulation : Exécution de $malwareName avec des chaînes d'injection..." -ForegroundColor Cyan
    
    # Nous créons un fichier fictif nommé StealC.exe pour satisfaire la partie 'Image' de la détection
    New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null
    
    # Exécutez le fichier fictif avec les chaînes spécifiques requises par la logique de détection
    # Dans un scénario réel, ce serait le malware s'exécutant.
    Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden
    
    Write-Host "[+] Commande de simulation envoyée." -ForegroundColor Green
  • Commandes de Nettoyage :

    # Nettoyage : Supprimez le fichier de malware fictif créé lors de la simulation
    Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé : StealC.exe supprimé." -ForegroundColor Yellow