Logiciel espionne déguisé en mods de jeux ciblant les avoirs en cryptomonnaie

Aperçu rapide

• L’équipe de cybersécurité de Kaspersky a découvert une nouvelle variante d’infostealer appelée Stealka qui extrait des données sensibles des navigateurs et applications Windows.
• Le malware est distribué via des modifications de jeux contrefaites, notamment pour Roblox, sur diverses plateformes de partage de fichiers.
• Actuellement, il y a peu de données concernant les pertes réelles en cryptomonnaies attribuées à cette campagne d’infostealer.

Comprendre la menace Stealka

Les chercheurs de Kaspersky ont identifié Stealka, un infostealer doté de capacités sophistiquées de collecte de crédentials, se propageant par le biais de modifications frauduleuses et de cracks disponibles sur des plateformes telles que GitHub, SourceForge, Softpedia et Google Sites. En se faisant passer pour des améliorations légitimes de jeux et des correctifs logiciels, Stealka compromet les données de navigateur et les identifiants d’authentification que les attaquants exploitent pour accéder aux actifs numériques.

Portée des systèmes ciblés

Cet infostealer montre une large portée technique sur les environnements Windows. Le malware se concentre spécifiquement sur :

Couverture des navigateurs : L’infostealer fonctionne contre les principaux navigateurs, notamment Chrome, Firefox, Opera, Yandex Browser, Edge et Brave, en extrayant les identifiants de connexion et les données de session.

Exposition aux cryptomonnaies : Plus de 100 extensions de navigateur sont compromises, avec une attention particulière portée aux extensions de portefeuille provenant des principales plateformes, outils de gestion de mots de passe (1Password, NordPass, LastPass), et applications d’authentification (Google Authenticator, Authy, Bitwarden). Au-delà des cibles basées sur le navigateur, Stealka peut récupérer des clés privées cryptées, des phrases de récupération, et des données de configuration de portefeuille provenant d’applications de cryptomonnaie autonomes couvrant Bitcoin, Ethereum, Monero, Dogecoin et autres réseaux blockchain.

Surface d’attaque étendue : Les capacités de l’infostealer s’étendent aux plateformes de messagerie (Discord, Telegram), applications de messagerie électronique (Gmail, Outlook), logiciels de prise de notes, et clients VPN, permettant un vol multi-vectoriel de crédentials au-delà des cibles spécifiques aux cryptos.

Modèle de distribution géographique

La protection des points de terminaison de Kaspersky a identifié les premières détections de Stealka en novembre 2025 sur des systèmes Windows. Bien que la Russie représente la concentration principale des attaques, le malware a également été détecté dans plusieurs régions, notamment en Turquie, au Brésil, en Allemagne et en Inde.

Mesures de protection

Les utilisateurs doivent mettre en œuvre des stratégies de défense en couches : maintenir leurs solutions antivirus à jour, éviter les modifications de logiciels non officielles et piratées, stocker les informations sensibles en dehors des environnements de navigateur, et activer l’authentification à deux facteurs avec des codes de sauvegarde stockés localement plutôt que dans le cloud.

Comme l’ont noté les représentants de Kaspersky, aucune donnée vérifiée n’existe sur les montants de cryptomonnaies effectivement volés via Stealka, bien que toutes les instances identifiées aient été bloquées par leurs systèmes de détection.