brève actu
Le malware open-source Stealerium active la webcam quand une victime regarde du porno, un infostealer utilisé dans des campagnes de sextorsion ciblée.
La cybersécurité est un enjeu crucial à l’ère du numérique, où les menaces évoluent constamment. Un nouvel exemple inquiétant est l’émergence de Stealerium, un malware open-source disponible sur GitHub depuis 2022.
Ce logiciel malveillant, initialement présenté à des fins éducatives, a rapidement été détourné pour des activités plus sinistres. Depuis mai 2025, une augmentation notable de son utilisation a été observée, avec des campagnes de phishing ciblant aussi bien des organisations que des particuliers. Les chercheurs de Proofpoint ont confirmé une recrudescence d’attaques entre mai et août, impliquant des groupes comme TA2715 et TA2536.
Un malware aux capacités multiples
Stealerium, classé comme infostealer, combine vol de données et chantage visuel. Sa fonction la plus troublante est liée à la vie privée : il surveille les onglets du navigateur pour détecter des contenus pornographiques, puis déclenche simultanément une capture d’écran et l’activation de la webcam. Les images exfiltrées servent ensuite à alimenter des campagnes de sextorsion. Wired et TechSpot soulignent que cette approche transforme l’infostealer classique en une arme psychologique, exploitant la peur d’une exposition publique.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
🧩 Qu’est-ce qu’un infostealer ?
Un infostealer (ou voleur d’informations) est un type de logiciel malveillant conçu pour extraire discrètement des données sensibles d’un appareil compromis. Contrairement aux ransomwares, qui bloquent les fichiers pour exiger une rançon, les infostealers visent la collecte silencieuse d’informations exploitables pour d’autres attaques ou la revente sur le dark web.
Ils ciblent notamment :
- Les identifiants enregistrés dans les navigateurs ou applications ;
- Les cookies et tokens de session, permettant de se connecter sans mot de passe ;
- Les données bancaires et cryptowallets ;
- Les fichiers personnels jugés intéressants (documents, images, bases de données) ;
- Les profils Wi-Fi et configurations réseau.
Les infostealers agissent souvent en deux temps : infection (via pièce jointe, lien piégé ou téléchargement trompeur), puis exfiltration des données vers des serveurs contrôlés par les attaquants (souvent via Telegram, Discord ou des services cloud détournés).
Leur popularité croissante s’explique par leur simplicité d’usage, leur discrétion et leur rentabilité : les données volées alimentent ensuite des campagnes de phishing, d’usurpation d’identité ou de fraude financière.
Cette capacité s’ajoute à ses fonctions traditionnelles : collecte d’identifiants, cookies, données de portefeuilles crypto, profils Wi-Fi et configurations VPN. Les informations sont ensuite exfiltrées via Telegram, Discord, SMTP ou des services de partage comme GoFile et Zulip. Les analyses indiquent aussi l’usage de PowerShell pour modifier les exclusions de Windows Defender et l’installation de tâches planifiées pour garantir la persistance.
Une prolifération facilitée par l’open source
Le fait que Stealerium soit open-source facilite son adoption et sa personnalisation par divers acteurs malveillants. Comme le note Wired, cette ouverture offre un double visage : utile pour l’apprentissage, mais aussi propice à la prolifération de malwares modulables et difficiles à contenir. Plusieurs variantes, dont Phantom Stealer, partagent d’ailleurs du code avec Stealerium.
Les secteurs les plus touchés vont des établissements éducatifs (via de faux courriels liés aux inscriptions) à la finance et au tourisme, en passant par des particuliers plus vulnérables aux pressions de sextorsion. Cybernews et TechRadar rapportent que cette dimension d’extorsion sexuelle accroît l’impact psychologique et le silence des victimes.
Guide pratique pour disséquer les logiciels malveillants
Lorsqu’un logiciel malveillant brise vos défenses, vous devez agir rapidement pour traiter les infections actuelles et prévenir les futures.
🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏
Mesures de défense et recommandations
Pour limiter les risques liés à Stealerium, plusieurs mesures s’imposent :
- Maintenir antivirus et solutions EDR à jour, avec des règles heuristiques renforcées.
- Surveiller les logs pour détecter des commandes suspectes (ex.
netsh wlan) ou des modifications des paramètres de sécurité. - Restreindre et contrôler strictement l’accès aux webcams.
- Filtrer les exfiltrations réseau vers des canaux non autorisés comme Telegram ou Discord.
- Sensibiliser les utilisateurs aux techniques de phishing et aux dangers des fichiers compressés contenant des exécutables.
Stealerium, une menace hybride malfaisante
Les chercheurs de Proofpoint ont récemment publié une analyse détaillée confirmant la recrudescence des campagnes exploitant Stealerium, un malware open‑source disponible sur GitHub depuis 2022. Selon eux, plusieurs vagues d’attaques ont été observées entre mai et août 2025, ciblant aussi bien des particuliers que des organisations dans les secteurs de la finance, du tourisme, de l’éducation et des services. Deux groupes de cybercriminels déjà connus, TA2715 et TA2536, figurent parmi les principaux acteurs identifiés.
Des campagnes variées et bien rodées
Les campagnes observées par Proofpoint reposent sur des techniques d’hameçonnage classiques, avec des messages imitant des entités légitimes — banques, associations, tribunaux ou sociétés de documents en ligne. Les emails, souvent accompagnés de fichiers compressés ou de scripts malveillants, évoquent des thèmes familiers : paiements en retard, convocations judiciaires ou réservations de voyage. Certains messages misent même sur la peur ou la curiosité, allant jusqu’à intégrer des contenus à connotation adulte pour pousser la victime à ouvrir la pièce jointe.
Une menace opportuniste, rendue plus accessible
Stealerium illustre les dérives de l’open source dans la cybersécurité. Conçu à l’origine pour l’analyse éducative, son code librement disponible a été massivement réutilisé et modifié. Des variantes comme Phantom Stealer et Warp Stealer partagent désormais une grande partie de son architecture. Ce phénomène favorise la multiplication des souches, plus difficiles à détecter et à contenir. Proofpoint souligne que cette accessibilité attire une nouvelle génération d’acteurs peu sophistiqués mais très actifs, capables de mener des campagnes massives avec des moyens limités.
Du vol de données à la manipulation psychologique
Au‑delà du vol d’informations, Stealerium se distingue par une fonction particulièrement invasive : la détection de contenus pornographiques dans les onglets ouverts du navigateur. Lorsqu’un tel contenu est repéré, le malware capture simultanément une image de l’écran et un cliché via la webcam, exploitables à des fins de chantage. Cette dimension de sextorsion transforme un simple voleur d’identifiants en outil de pression psychologique, exploitant la honte et la peur d’exposition publique.
Un signal d’alerte pour les défenseurs
La diversité des canaux d’exfiltration et la sophistication croissante de ses variantes en font une menace durable. Proofpoint rappelle que la popularité de Stealerium traduit une évolution du cybercrime : les voleurs d’informations remplacent progressivement les ransomwares dans les campagnes opportunistes. L’objectif n’est plus seulement le blocage des systèmes, mais la compromission des identités et des comportements numériques.
Pour une analyse complète des campagnes et des indicateurs observés, voir le rapport de Proofpoint :
Danger pour le travail : traquer et enquêter sur Stealerium and Phantom Infostealers | Proofpoint US
Principales conclusions Les chercheurs de Proofpoint ont observé une augmentation des cybercriminels opportunistes utilisant des logiciels malveillants basés sur Stealerium, un logiciel malveillant open source disponible « à des fins éducatives ».
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
