Sextorsion 2.0 : le spyware Stealerium surveille l'activité navigateur et prend des photos de la cible via webcam quand elle regarde du porno

Il est présenté comme un programme «destiné à des fins éducatives»

La sextorsion entre dans une nouvelle ère avec Stealerium, un logiciel espion capable de détecter la navigation pornographique avant d’activer la webcam de l’utilisateur et de prendre des photos compromettantes. Ce qui choque particulièrement, c’est que Stealerium n’est pas un outil obscur réservé à quelques groupes criminels. Il est accessible en open source sur GitHub, présenté comme un projet « à visée éducative ». Arme potentielle de chantage, ce malware illustre la bascule inquiétante du cybercrime vers l’exploitation directe de l’intime.

Contexte

Des chercheurs en cybersécurité ont récemment documenté un spyware baptisé Stealerium, dont le fonctionnement illustre une évolution inquiétante. Ce programme ne se limite pas à voler des identifiants ou à siphonner des données de navigation. Il est capable de surveiller en temps réel l’activité du navigateur et de déclencher ses fonctionnalités les plus intrusives lorsqu’il détecte du contenu pornographique. À cet instant précis, il prend à la fois une capture d’écran du site affiché et une photo de l’utilisateur via sa webcam. Le résultat est un duo d’images difficilement contestables, fournissant au criminel une arme de chantage d’une efficacité redoutable.

Proofpoint a étudié les fonctionnalités de Stealerium après avoir découvert ce logiciel malveillant dans des dizaines de milliers d'e-mails envoyés par deux groupes de pirates informatiques différents qu'il suit (deux opérations cybercriminelles à relativement petite échelle), ainsi que dans plusieurs autres campagnes de piratage par e-mail. Étrangement, Stealerium est distribué sous forme d'outil open source gratuit disponible sur GitHub. Le développeur du logiciel malveillant, qui se fait appeler witchfindertr et se décrit comme un « analyste de logiciels malveillants » basé à Londres, précise sur la page que le programme est destiné « à des fins éducatives uniquement ».

« L'utilisation de ce programme relève de votre responsabilité », peut-on lire sur la page. « Je ne serai pas tenu responsable des activités illégales. Et je me fiche complètement de la manière dont vous l'utilisez. »

Un chantage sexuel revisité à l’ère du spyware

La sextorsion n’est pas une invention récente. Depuis plus d’une décennie, elle repose sur une mécanique bien huilée : convaincre une victime qu’un cybercriminel détient des images ou vidéos compromettantes pour la pousser à payer. La plupart du temps, il ne s’agit que de menaces en l’air appuyées par des e-mails intimidants. Mais une nouvelle génération de logiciels malveillants change la donne.

Mercredi, les chercheurs de la société de sécurité Proofpoint ont publié leur analyse d'une variante open source du logiciel malveillant « infostealer » connu sous le nom de Stealerium, que la société a vu utilisé dans plusieurs campagnes cybercriminelles depuis mai de cette année. Comme tous les infostealers, ce logiciel malveillant est conçu pour infecter l'ordinateur d'une cible et envoyer automatiquement à un cybercriminel une grande variété de données sensibles volées, notamment des informations bancaires, des noms d'utilisateur et des mots de passe, ainsi que les clés des portefeuilles crypto des victimes. Stealerium ajoute cependant une autre forme d'espionnage, plus humiliante : il surveille également le navigateur de la victime à la recherche d'adresses web contenant certains mots-clés NSFW, capture des images des onglets du navigateur contenant ces mots, photographie la victime via sa webcam pendant qu'elle consulte ces pages pornographiques et envoie toutes les images à un pirate informatique, qui peut alors faire chanter la victime en la menaçant de les divulguer.

« En matière d'infostealers, ils recherchent généralement tout ce qu'ils peuvent récupérer », explique Selena Larson, l'une des chercheuses de Proofpoint qui a participé à l'analyse de l'entreprise. « Cela ajoute une couche supplémentaire d'atteinte à la vie privée et d'informations sensibles que vous ne voudriez certainement pas voir entre les mains d'un pirate informatique en particulier. »

De l’expérimentation open source au risque criminel

Le plus déroutant n’est pas uniquement l’ingéniosité technique de Stealerium, mais sa disponibilité publique. Son code circule librement sur GitHub, sous couvert d’un projet éducatif. L’auteur, utilisant le pseudonyme witchfindertr, se décharge de toute responsabilité en arguant qu’il s’agit d’un outil de recherche. Pourtant, les caractéristiques intégrées au logiciel trahissent un potentiel d’abus évident.

Dans sa forme actuelle, Stealerium est déjà exploité par le biais de campagnes d’hameçonnage ciblées. Les secteurs visés incluent l’hôtellerie, l’éducation ou la finance, mais rien n’empêche que ce spyware s’attaque directement à des particuliers. Les victimes reçoivent des e-mails frauduleux contenant des pièces jointes malveillantes, souvent déguisées en factures ou documents administratifs. Si ces techniques restent classiques, ce qui change, c’est le type de données que le malware est conçu pour capturer : non plus uniquement des informations financières, mais des preuves visuelles exploitables dans une logique de chantage sexuel.


Quelques éléments sur la campagne : méthodes de livraison et leurres

Ci-dessous un extrait de ProofPoint :

Le volume des messages varie de quelques centaines à plusieurs dizaines de milliers par campagne. Les campagnes Stealerium comprenaient des e-mails contenant divers types de fichiers, notamment des fichiers exécutables compressés, JavaScript, VBScript, ISO, IMG et des fichiers d'archive ACE. Les e-mails observés usurpaient l'identité de nombreuses organisations différentes, notamment des fondations caritatives, des banques, des tribunaux et des services de documentation, qui sont des thèmes courants dans les leurres utilisés dans la cybercriminalité. Les objets des e-mails évoquaient généralement l'urgence ou l'importance financière, avec des titres tels que « Paiement dû », « Convocation au tribunal » et « Facture de don ».

Par exemple, le 5 mai 2025, Proofpoint a identifié une...