
Contexte
Des chercheurs en cybersécurité ont récemment documenté un spyware baptisé Stealerium, dont le fonctionnement illustre une évolution inquiétante. Ce programme ne se limite pas à voler des identifiants ou à siphonner des données de navigation. Il est capable de surveiller en temps réel l’activité du navigateur et de déclencher ses fonctionnalités les plus intrusives lorsqu’il détecte du contenu pornographique. À cet instant précis, il prend à la fois une capture d’écran du site affiché et une photo de l’utilisateur via sa webcam. Le résultat est un duo d’images difficilement contestables, fournissant au criminel une arme de chantage d’une efficacité redoutable.
Proofpoint a étudié les fonctionnalités de Stealerium après avoir découvert ce logiciel malveillant dans des dizaines de milliers d'e-mails envoyés par deux groupes de pirates informatiques différents qu'il suit (deux opérations cybercriminelles à relativement petite échelle), ainsi que dans plusieurs autres campagnes de piratage par e-mail. Étrangement, Stealerium est distribué sous forme d'outil open source gratuit disponible sur GitHub. Le développeur du logiciel malveillant, qui se fait appeler witchfindertr et se décrit comme un « analyste de logiciels malveillants » basé à Londres, précise sur la page que le programme est destiné « à des fins éducatives uniquement ».
« L'utilisation de ce programme relève de votre responsabilité », peut-on lire sur la page. « Je ne serai pas tenu responsable des activités illégales. Et je me fiche complètement de la manière dont vous l'utilisez. »
Un chantage sexuel revisité à l’ère du spyware
La sextorsion n’est pas une invention récente. Depuis plus d’une décennie, elle repose sur une mécanique bien huilée : convaincre une victime qu’un cybercriminel détient des images ou vidéos compromettantes pour la pousser à payer. La plupart du temps, il ne s’agit que de menaces en l’air appuyées par des e-mails intimidants. Mais une nouvelle génération de logiciels malveillants change la donne.
Mercredi, les chercheurs de la société de sécurité Proofpoint ont publié leur analyse d'une variante open source du logiciel malveillant « infostealer » connu sous le nom de Stealerium, que la société a vu utilisé dans plusieurs campagnes cybercriminelles depuis mai de cette année. Comme tous les infostealers, ce logiciel malveillant est conçu pour infecter l'ordinateur d'une cible et envoyer automatiquement à un cybercriminel une grande variété de données sensibles volées, notamment des informations bancaires, des noms d'utilisateur et des mots de passe, ainsi que les clés des portefeuilles crypto des victimes. Stealerium ajoute cependant une autre forme d'espionnage, plus humiliante : il surveille également le navigateur de la victime à la recherche d'adresses web contenant certains mots-clés NSFW, capture des images des onglets du navigateur contenant ces mots, photographie la victime via sa webcam pendant qu'elle consulte ces pages pornographiques et envoie toutes les images à un pirate informatique, qui peut alors faire chanter la victime en la menaçant de les divulguer.
« En matière d'infostealers, ils recherchent généralement tout ce qu'ils peuvent récupérer », explique Selena Larson, l'une des chercheuses de Proofpoint qui a participé à l'analyse de l'entreprise. « Cela ajoute une couche supplémentaire d'atteinte à la vie privée et d'informations sensibles que vous ne voudriez certainement pas voir entre les mains d'un pirate informatique en particulier. »
De l’expérimentation open source au risque criminel
Le plus déroutant n’est pas uniquement l’ingéniosité technique de Stealerium, mais sa disponibilité publique. Son code circule librement sur GitHub, sous couvert d’un projet éducatif. L’auteur, utilisant le pseudonyme witchfindertr, se décharge de toute responsabilité en arguant qu’il s’agit d’un outil de recherche. Pourtant, les caractéristiques intégrées au logiciel trahissent un potentiel d’abus évident.
Dans sa forme actuelle, Stealerium est déjà exploité par le biais de campagnes d’hameçonnage ciblées. Les secteurs visés incluent l’hôtellerie, l’éducation ou la finance, mais rien n’empêche que ce spyware s’attaque directement à des particuliers. Les victimes reçoivent des e-mails frauduleux contenant des pièces jointes malveillantes, souvent déguisées en factures ou documents administratifs. Si ces techniques restent classiques, ce qui change, c’est le type de données que le malware est conçu pour capturer : non plus uniquement des informations financières, mais des preuves visuelles exploitables dans une logique de chantage sexuel.
Quelques éléments sur la campagne : méthodes de livraison et leurres
Ci-dessous un extrait de ProofPoint :
Le volume des messages varie de quelques centaines à plusieurs dizaines de milliers par campagne. Les campagnes Stealerium comprenaient des e-mails contenant divers types de fichiers, notamment des fichiers exécutables compressés, JavaScript, VBScript, ISO, IMG et des fichiers d'archive ACE. Les e-mails observés usurpaient l'identité de nombreuses organisations différentes, notamment des fondations caritatives, des banques, des tribunaux et des services de documentation, qui sont des thèmes courants dans les leurres utilisés dans la cybercriminalité. Les objets des e-mails évoquaient généralement l'urgence ou l'importance financière, avec des titres tels que « Paiement dû », « Convocation au tribunal » et « Facture de don ».
Par exemple, le 5 mai 2025, Proofpoint a identifié une campagne TA2715 usurpant l'identité d'une organisation caritative canadienne avec un leurre « demande de devis ». Les messages contenaient une pièce jointe compressée exécutable qui, une fois exécutée, téléchargeait et installait Stealerium.
Campagne TA2715 usurpant l'identité d'une organisation caritative.
Les chercheurs ont également observé plusieurs campagnes utilisant des appâts liés aux voyages, à l'hôtellerie et même au mariage. Par exemple, le 23 juin 2025, Proofpoint a identifié une demande de réservation contenant des exécutables compressés qui diffusaient Stealerium. Cette campagne ciblait des organisations du secteur hôtelier, ainsi que des organismes éducatifs et financiers.
Leurre sur le thème du voyage imitant une agence de voyages.
Comme dans de nombreuses campagnes de logiciels malveillants courants, les cybercriminels qui diffusent Stealerium utilisent également régulièrement des leurres liés aux paiements ou aux factures. Dans une campagne observée le 24 juin 2025, les cybercriminels ont utilisé un thème « Xerox Scan » avec un leurre lié aux paiements. La campagne visait des centaines d'organisations à travers le monde. Ces messages contenaient des fichiers JavaScript compressés qui installaient Stealerium et effectuaient une reconnaissance du réseau afin de recueillir des profils Wi-Fi et des réseaux à proximité.
Leurre se présentant comme un document de paiement numérisé pour finalement livrer une charge utile JavaScript.
Enfin, comme beaucoup d'acteurs malveillants, les campagnes diffusant Stealerium utilisent souvent des techniques d'ingénierie sociale qui exploitent la peur, la frustration ou l'excitation pour inciter les gens à réagir à leurs messages avec un sentiment d'urgence. Nous avons observé du contenu à caractère adulte dans certains leurres Stealerium, ainsi que l'exemple suivant qui informe le destinataire qu'il fait l'objet d'une poursuite judiciaire. Cette campagne a été observée le 2 juillet 2025, avec une « date d'audience » fixée au 15 juillet 2025 afin d'accroître le sentiment d'urgence du courriel. Ces messages contenaient des fichiers IMG (image disque) avec des scripts VBScript intégrés. Le script VBScript téléchargeait la charge utile sous forme d'exécutable compressé qui installait Stealerium.
Leurre à thème juridique avec des pièces jointes .vbs et .img qui mènent à Stealerium.
Stealerium est conçu pour voler une grande variété de données
Une fois installé, Stealerium est conçu pour voler une grande variété de données et les envoyer au pirate via des services tels que Telegram, Discord ou le protocole SMTP dans certaines variantes du logiciel espion, ce qui est relativement courant chez les voleurs d'informations. Les chercheurs ont été plus surpris de découvrir la fonctionnalité automatisée de sextorsion, qui surveille les URL du navigateur à la recherche d'une liste de termes liés à la pornographie tels que « sexe » et « porno », qui peuvent être personnalisés par le pirate informatique et déclencher des captures d'images simultanées à partir de la webcam et du navigateur de l'utilisateur. Proofpoint note qu'il n'a identifié aucune victime spécifique de cette fonction de sextorsion, mais suggère que l'existence de cette fonctionnalité signifie qu'elle a probablement été utilisée.
Les méthodes de sextorsion plus pratiques sont une tactique de chantage courante chez les cybercriminels, et les campagnes d'escroquerie dans lesquelles les pirates prétendent avoir obtenu des photos webcam de victimes regardant de la pornographie ont également envahi les boîtes de réception ces dernières années, certaines allant même jusqu'à tenter de renforcer leur crédibilité avec des photos du domicile de la victime tirées de Google Maps. Mais les photos réelles et automatisées prises par webcam d'utilisateurs consultant du contenu pornographique sont « pratiquement inconnues », selon Kyle Cucci, chercheur chez Proofpoint. Le seul exemple similaire connu, dit-il, est une campagne de logiciels malveillants qui ciblait les utilisateurs francophones en 2019, découverte par la société slovaque de cybersécurité ESET.
Selon Larson, de Proofpoint, le fait de cibler des utilisateurs individuels à l'aide de fonctionnalités automatisées de sextorsion pourrait s'inscrire dans une tendance plus large chez certains cybercriminels, en particulier les groupes de moindre envergure, qui délaissent les campagnes de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.