Des sites frauduleux de Proton VPN aux mods de jeux, ce voleur d’informations Windows est partout

"graph TB %% Définitions de classe classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nœuds initial_access["<b>Action</b> – <b>T1204.002 Exécution par l’utilisateur</b>: La victime télécharge un ZIP malveillant à partir d’un faux site VPN ou utilitaire matériel et l’exécute."] class initial_access action malicious_zip["<b>Malware</b> – <b>Nom</b>: Archive ZIP malveillante<br/><b>Obfuscation</b>: T1027.015 Compression"] class malicious_zip malware powershell_loader["<b>Processus</b> – <b>Nom</b>: Chargeur PowerShell<br/><b>Technique</b>: T1059.001 Interpréteur de commandes et de script"] class powershell_loader process defender_exclusion["<b>Action</b> – <b>T1564.012 Cacher des artefacts</b>: Ajoute ses dossiers à la liste d’exclusion de Windows Defender."] class defender_exclusion action impair_defenses["<b>Action</b> – <b>T1562 Affaiblir les défenses</b>: Modifie les paramètres de sécurité via PowerShell pour échapper à la détection."] class impair_defenses action cmstp_tool["<b>Outil</b> – <b>Nom</b>: cmstp.exe<br/><b>Technique</b>: T1218.003 Exécution de proxy binaire système"] class cmstp_tool tool uac_bypass["<b>Action</b> – <b>T1548.002 Contourner UAC</b>: Utilise CMSTP avec un fichier INF conçu pour obtenir des droits élevés."] class uac_bypass action regasm_tool["<b>Outil</b> – <b>Nom</b>: regasm.exe<br/><b>Technique</b>: T1218.009 Exécution de proxy binaire système"] class regasm_tool tool process_hollowing["<b>Action</b> – <b>Processus d’excavation</b>: Crée un processus Regasm et le creuse via les API NT."] class process_hollowing action dll_hijack["<b>Action</b> – <b>T1574.001 Détournement de DLL</b>: Déploie un iviewers.dll malveillant chargé par des exécutables légitimes."] class dll_hijack action persistence["<b>Action</b> – <b>T1546 Exécution déclenchée par un événement</b> & <b>T1547 Démarrage ou ouverture de session Autostart</b>: Programme des tâches pour exécuter la charge utile à l’ouverture de session utilisateur avec des privilèges élevés."] class persistence action cred_browser["<b>Action</b> – <b>T1555.003 Identifiants des navigateurs Web</b>: Récolte des mots de passe et des cookies de plusieurs navigateurs."] class cred_browser action cred_cookie["<b>Action</b> – <b>T1539 Vol de cookie de session Web</b>: Extrait des cookies de session pour les services Web."] class cred_cookie action browser_discovery["<b>Action</b> – <b>T1217 Découverte d’informations du navigateur</b>: Dénombre les profils de navigateur, extensions et paramètres."] class browser_discovery action c2_dead_drop["<b>Action</b> – <b>T1102.001 Résolveur de dépôt mort de service Web</b>: Récupère des informations C2 supplémentaires depuis un canal mort de Telegram."] class c2_dead_drop action c2_bidirectional["<b>Action</b> – <b>T1102.002 Communication bidirectionnelle de service Web</b>: Communique avec C2 sur HTTP chiffré."] class c2_bidirectional action %% Connexions initial_access –>|livre| malicious_zip malicious_zip –>|exécute| powershell_loader powershell_loader –>|crée des répertoires cachés et ajoute des exclusions| defender_exclusion powershell_loader –>|modifie les paramètres de sécurité| impair_defenses powershell_loader –>|invoque| cmstp_tool cmstp_tool –>|active| uac_bypass uac_bypass –>|lance| regasm_tool regasm_tool –>|effectue| process_hollowing process_hollowing –>|dépôt| dll_hijack dll_hijack –>|facilite| persistence persistence –>|offre un point d’ancrage pour| cred_browser cred_browser –>|collecte| cred_cookie cred_browser –>|collecte| browser_discovery cred_cookie –>|utilisé pour| c2_dead_drop browser_discovery –>|fournit des informations à| c2_dead_drop c2_dead_drop –>|communique via| c2_bidirectional "

Flux d’attaque