Introduction
Des hackers insèrent des malwares infostealer dans des mods piratés pour Roblox et d’autres jeux, selon des recherches menées par la société de cybersécurité Kaspersky. Un article de blog de Kaspersky révèle qu’elle a identifié une nouvelle variété d’infostealer appelée Stealka, qu’elle a jusqu’à présent rencontrée sur des plateformes de distribution telles que GitHub, SourceForge, Softpedia et sites.google.com.
Fonctionnalités de Stealka
Déguisé en mods non officiels, cheats et cracks pour des jeux basés sur Windows et d’autres applications, Stealka exfiltre des informations sensibles de connexion et de navigateur, que ses opérateurs peuvent utiliser pour voler des cryptomonnaies.
Le malware cible principalement les données contenues dans des navigateurs tels que Chrome, Firefox, Opera, Yandex Browser, Edge et Brave, ainsi que les paramètres et bases de données de plus de 100 extensions de navigateur. Ces extensions incluent des portefeuilles de cryptomonnaies tels que Binance, Coinbase, MetaMask, Crypto.com et Trust Wallet, ainsi que des gestionnaires de mots de passe (1Password, NordPass, LastPass) et des applications d’authentification à deux facteurs (Google Authenticator, Authy, Bitwarden).
En fait, la portée de Stealka ne s’arrête pas aux extensions de navigateur, car il peut également extraire des clés privées (chiffrées), des données de phrases de récupération et des chemins de fichiers de portefeuille à partir d’applications de portefeuille de cryptomonnaies autonomes. Cela inclut des applications de Binance, Exodus, MyCrypto et MyMonero, ainsi que des applications de portefeuille pour Bitcoin, BitcoinABC, Dogecoin, Ethereum, Monero, Novacoin et Solar.
Autres cibles de Stealka
En dehors de la cryptomonnaie, le malware Stealka a la capacité de voler des données et des jetons d’authentification pour des applications de messagerie (par exemple, Discord et Telegram), des clients de messagerie (par exemple, Gmail Notifier Pro, Mailbird, Outlook), des applications de prise de notes (NoteFly, Notezilla, Microsoft StickyNotes) et des clients VPN (par exemple, OpenVPN, ProtonVPN, WindscribeVPN).
Déclarations de Kaspersky
S’exprimant auprès de Decrypt, l’expert en cybersécurité de Kaspersky, Artem Ushkov, a expliqué que le nouveau malware « a été détecté par les solutions de protection des points de terminaison de Kaspersky sur des machines Windows en novembre 2025. » Comme c’est le cas avec des malwares similaires, Ushkov rapporte que la plupart des utilisateurs ciblés par Stealka sont basés en Russie. « Cependant, des attaques par le malware ont également été détectées dans d’autres pays, y compris la Türkiye, le Brésil, l’Allemagne et l’Inde, » a-t-il ajouté.
Conseils de sécurité
Compte tenu de la menace que représente Stealka, Kaspersky conseille dans son blog qu’en plus d’utiliser un logiciel antivirus réputé, les utilisateurs devraient éviter les mods non officiels et piratés. Le blog déconseille également de stocker des informations importantes dans les navigateurs et exhorte les utilisateurs à employer l’authentification à deux facteurs chaque fois que cela est possible, tout en utilisant des codes de sauvegarde (mais sans les stocker dans les navigateurs ou dans des documents texte).
Conclusion
Bien que le potentiel de Stealka pour voler des informations et, par extension, des cryptomonnaies semble intimidant, il n’y a actuellement aucune indication qu’il ait entraîné des pertes significatives. « Nous ne sommes pas au courant du montant de cryptomonnaies qui a été volé en l’utilisant, » a déclaré Ushkov. « Nos solutions protègent contre cette menace : tous les malwares Stealka détectés ont été bloqués par nos solutions. »
