Une nouvelle souche de malware appelée Stealka vole des cryptomonnaies en se faisant passer pour des cheats de jeux, des cracks de logiciels et des mods populaires, en utilisant des plateformes de téléchargement de confiance et de faux sites web pour inciter les utilisateurs à infecter eux‑mêmes leurs appareils.
Des chercheurs en cybersécurité de Kaspersky say que cet infostealer pour Windows circule activement depuis au moins novembre, ciblant les données des navigateurs, les applications installées localement ainsi que les portefeuilles crypto basés sur navigateur et sur ordinateur.
Une fois exécuté, Stealka peut détourner des comptes en ligne, vider les avoirs en cryptomonnaies et, dans certains cas, installer un mineur de cryptomonnaie pour monétiser davantage les systèmes infectés.
Se propage via des cheats de jeux et des logiciels piratés
Selon l’analyse de Kaspersky, Stealka se propage principalement via des fichiers que les utilisateurs téléchargent et exécutent volontairement.
Le malware est fréquemment déguisé en versions crackées de logiciels commerciaux ou en cheats et mods pour des jeux populaires, distribués via des plateformes largement utilisées comme GitHub, SourceForge, Softpedia et Google Sites.
Dans plusieurs cas, les attaquants ont téléversé des fichiers malveillants dans des dépôts légitimes, s’appuyant sur la crédibilité de ces plateformes pour réduire la méfiance.
Parallèlement, les chercheurs ont observé de faux sites web au design professionnel proposant des logiciels piratés ou des scripts de jeux.
Ces sites affichent souvent de faux résultats d’analyse antivirus afin de donner l’illusion que les téléchargements sont sûrs.
En réalité, les noms de fichiers et les descriptions de pages ne servent que d’appât ; le contenu téléchargé contient systématiquement la même charge utile d’infostealer.
Le malware cible navigateurs, portefeuilles et applications locales
Une fois installé, Stealka se concentre fortement sur les navigateurs web basés sur Chromium et Gecko, exposant les utilisateurs de plus d’une centaine de navigateurs au vol de données.
Le malware extrait les identifiants enregistrés, les données de remplissage automatique, les cookies et les jetons de session, permettant aux attaquants de contourner l’authentification à deux facteurs et de prendre le contrôle de comptes sans mots de passe.
Les comptes compromis sont ensuite utilisés pour diffuser davantage le malware, notamment au sein des communautés de joueurs.
Stealka cible également les extensions de navigateurs liées aux portefeuilles de cryptomonnaies, aux gestionnaires de mots de passe et aux outils d’authentification. Les chercheurs ont identifié des tentatives de collecte de données à partir d’extensions liées à des portefeuilles crypto majeurs comme MetaMask, Trust Wallet et Phantom, ainsi qu’à des services de mots de passe et d’authentification comme Bitwarden, Authy et Google Authenticator.
Au‑delà des navigateurs, le malware collecte des fichiers de configuration et des données locales provenant de dizaines d’applications de bureau.
Celles‑ci incluent des portefeuilles crypto autonomes susceptibles de stocker des clés privées chiffrées et des métadonnées de portefeuilles, des applications de messagerie, des clients de messagerie électronique, des logiciels VPN, des outils de prise de notes et des lanceurs de jeux.
Pourquoi c’est important
L’accès à ces informations permet aux attaquants de voler des fonds, de réinitialiser les identifiants de comptes et de dissimuler d’autres activités malveillantes.
Le malware recueille en outre des informations système et capture des captures d’écran des appareils infectés.
Kaspersky a averti que la campagne Stealka met en évidence le chevauchement croissant entre piratage de logiciels, téléchargements liés au jeu vidéo et cybercriminalité financière, incitant les utilisateurs à éviter les sources de logiciels non fiables et à considérer cheats, mods et cracks comme des fichiers à haut risque.