Logiciel malveillant voleur d'informations : une introduction

13 novembre 2024

Ce blog a été mis à jour le 26 juin 2025..

Le vol d'identifiants est un marché florissant pour les cybercriminels. Selon le dernier rapport d'enquête sur les violations de données (DBIR) de Verizon, Les identifiants étaient impliqués dans 88 % des violations de données liées aux attaques d'applications web basiques.ce qui en fait le vecteur d'attaque initial le plus courant, et parfois même le seul vecteur utilisé lors d'une attaque.

D'après le rapport DBIR 2025 de Verizon, les attaques contre les applications web commencent généralement par le vol d'identifiants.

Comment les cybercriminels obtiennent-ils ces mots de passe ? Le plus souvent, grâce à des logiciels malveillants voleurs d’informations. 

Les voleurs d'informations sont devenus un élément essentiel de l'économie de la cybercriminalité, à tel point qu'ils ont engendré leur propre écosystème, avec des fournisseurs de vol d'informations, des modèles de tarification par abonnement, des opérateurs de vol d'informations, journal de voleur courtiers et acheteurs.

L'écosystème des voleurs d'informations a également eu un impact considérable sur d'autres types de cybercriminalité. Prenons l'exemple des rançongiciels. Selon le DBIR, 54 % des identifiants des victimes de rançongiciels ont été retrouvés dans les journaux de voleurs d'informations, et 40 % de ces journaux contenaient des adresses électroniques professionnelles.

Qu'est-ce qu'un logiciel malveillant Infostealer ? 

Les voleurs d'informations sont des chevaux de Troie d'accès à distance (RAT) sophistiqués qui infectent silencieusement les ordinateurs, en collectant d'énormes quantités d'informations sensibles, comme les cookies de session, les données système et les mots de passe. Le voleur d'informations compile ensuite les données volées dans un fichier. journal de voleur et le renvoie aux attaquants. 

Une fois le journal exfiltré, l'attaquant le distribue à d'autres acteurs malveillants sur des plateformes de cybercriminalité du dark web (comme Russian Market), sur des forums fréquentés par des cybercriminels notoires, ou via une plateforme de messagerie comme TelegramLes bûches Stealer peuvent être vendues, mais sont parfois distribuées sous forme d'échantillons gratuits — les vendeurs font souvent la promotion de leurs canaux et autres offres avec des échantillons quotidiens et hebdomadaires de leurs produits. 

Les journaux achetés et les échantillons gratuits sont ensuite utilisés par d'autres criminels pour lancer leurs propres attaques, telles que : 

  • fraude financière
  • les violations de données
  • Prise de contrôle de compte et de session
  • attaques de Rançongiciels

Que contient un journal de vol d'informations ?

Chaque journal de voleur représente les données volées d'un seul utilisateur et comprend généralement une capture d'écran de son navigateur et des informations clés sur son ordinateur.

Cependant, tous les voleurs d'informations ne contiennent pas les mêmes informations. Différentes variantes de voleurs d'informations extraient différents types de données. (Cela peut constituer un facteur de différenciation sur le marché des logiciels malveillants ; les développeurs de voleurs d'informations concurrents ciblent des types de données spécifiques.) Par exemple, une variante peut extraire les données du presse-papiers de l'utilisateur, tandis qu'une autre peut ne pas le faire.

Pourquoi ne pas tirer tous Les développeurs de logiciels malveillants savent que voler des données utilisateur serait contre-productif : plus un pirate informatique vole de données, plus il a de chances d’être détecté et bloqué par Windows Defender ou un autre antivirus. Il existe donc une tension constante entre la quantité de données volées et la nécessité de dissimuler les logiciels malveillants.

Un journal de vol d'informations avec des fichiers .txt distincts pour différents types de données volées

Voici ce que contient le journal du voleur d'informations ci-dessus :

  • Remplissage automatique : Ce dossier contient des données volées liées à la fonction de remplissage automatique des navigateurs web, notamment des noms, des adresses et des informations de paiement. Si elles sont compromises, ces données peuvent être utilisées pour des usurpations d'identité ou des transactions frauduleuses.
  • Témoins Ce dossier contient les cookies du navigateur, qui stockent les données de session et les identifiants de connexion aux sites web. Le vol de ces cookies pourrait permettre à des attaquants de contourner les mécanismes d'authentification et de détourner les sessions actives, ce qui pourrait entraîner… reprises de compte.
  • Discorde: Ce dossier peut contenir des jetons de session ou des identifiants liés à la plateforme Discord. Le vol de ces jetons pourrait donner aux attaquants accès au compte Discord de la victime, leur permettant ainsi de dérober des communications sensibles ou d'usurper son identité.
  • DomainDetects.txtCe fichier texte enregistre les domaines détectés ou visités par la victime. Il peut s'avérer utile pour comprendre son comportement de navigation ou identifier des cibles d'hameçonnage.
  • FBFastCheck : Il s'agit en fait d'une publicité pour un autre service d'abonnement proposé par le propriétaire de la chaîne, qui permet aux utilisateurs de trier rapidement les journaux de vol d'identifiants afin d'identifier le type d'identifiants qu'ils recherchent. 
  • ImportantAutofills.txt : Ce fichier stocke des informations de remplissage automatique plus critiques, telles que des entrées sensibles comme les cartes de paiement, les adresses de facturation ou les informations personnelles identifiables (IPI) provenant des données de remplissage automatique du navigateur.
  • InstalledBrowsers.txt : Liste des navigateurs installés sur le système de la victime. 
  • InstalledSoftware.txt : Contient la liste de tous les logiciels installés sur la machine de la victime. 
  • Passwords.txt : Ce fichier est crucial, car il contient des mots de passe en clair récupérés depuis le navigateur de la victime. 
  • ProcessList.txt : Ce fichier enregistre les processus en cours d'exécution sur la machine de la victime au moment de l'infection par le voleur d'informations. 
  • UserInformation.txt : Ce fichier contient des informations détaillées sur le compte ou le système de la victime, telles que les noms d'utilisateur, les noms d'ordinateur ou les détails du système d'exploitation. Il contient également des informations sur la date d'infection et la version du logiciel malveillant.

L'écosystème Infostealer Malware-as-a-Service

Les voleurs d'informations modernes opèrent au sein d'un écosystème sophistiqué de logiciels malveillants en tant que service (MaaS), qui ressemble presque à l'économie légitime des logiciels en tant que service (SaaS) ; les fournisseurs offrent une assistance, des paiements d'abonnement automatisés et des tableaux de bord pour les utilisateurs.

Les logiciels espions sont distribués via les marchés de logiciels malveillants, les forums, les chaînes Telegram et par le biais de transactions privées. Il existe également des programmes d'affiliation permettant à d'autres criminels d'agir comme revendeurs. 

La structure tarifaire varie selon la formule choisie. Ces deux dernières années, les prix des abonnements aux journaux de voleurs sont restés globalement stables.

Message Telegram concernant un voleur de Redline à vendre

Variantes standard :

  • Modèle d'abonnement mensuel
  • Fourchette de prix : 130-170 $ US
  • Paiements acceptés en cryptomonnaie
  • Comprend l'hébergement de l'infrastructure C2

Variantes spécialisées :

  • Les logiciels malveillants pour macOS sont proposés à des prix élevés
  • Les prix plus élevés reflètent une concurrence limitée dans le domaine des logiciels malveillants pour Mac ; cependant, le nombre de voleurs ciblant macOS ayant récemment augmenté, cette situation pourrait évoluer.

Les fournisseurs de MaaS jouent un rôle crucial dans l'écosystème. Le développement de logiciels malveillants est complexe et chronophage, et exige une expertise considérable, notamment pour contourner les systèmes antivirus/EDR modernes. En faisant appel à des développeurs spécialisés dans le vol d'informations, qui maintiennent leur propre code et le vendent comme un service, ils peuvent tirer parti du principe économique de la spécialisation des rôles tout en réalisant des profits importants, en particulier pour les développeurs qui créent des variantes populaires telles que… Ligne rouge.

Distribution des voleurs d'informations : schémas d'attaque courants

Après avoir acquis une variante de logiciel espion, les cybercriminels utilisent diverses méthodes de distribution pour infecter les systèmes de leurs victimes. Bien que plusieurs approches existent, la plus courante consiste à intégrer le logiciel malveillant dans des téléchargements de logiciels prétendument « piratés ».

Voici le déroulement typique d'une attaque :

  1. La configuration initiale
    • Un acteur malveillant acquiert une variante de logiciel espion via des chaînes Telegram.
    • Le package comprend généralement l'infrastructure C2
    • Certaines variantes sont accompagnées d'une documentation détaillée sur le processus d'infection.
  2. Infrastructure de distribution
    • Crée des pages de destination en utilisant des sites copiés-collés, des sites web volés ou des sites hébergés sur un hébergement ultra-sécurisé.
    • Téléverse des charges utiles malveillantes sur des plateformes de partage de fichiers (par exemple, Mega.nz)
    • Utilise une protection par mot de passe pour contourner l'analyse antivirus lors du téléchargement.
  3. Génération de trafic
    • Acquisition de comptes Google Ads compromis
    • Achats compromis des comptes YouTube
    • Utilisez ces plateformes pour faire la publicité (vraies ou fausses) de logiciels piratés contenant des logiciels espions.
  4. Exfiltration de données
    • Les victimes téléchargent et exécutent les fichiers malveillants.
    • Infostealer collecte différents types de données :
      • Identifiants de connexion
      • Données du navigateur
      • informations sur le système
    • Les données volées sont transmises à :
      • Infrastructure C2 dédiée
      • Chaînes Telegram (dans certaines configurations)

Bien que la distribution de logiciels piratés soit courante, les acteurs malveillants sophistiqués peuvent employer d'autres techniques :

  • Ciblé phishing campagnes
  • Attaques de points d'eau

Une campagne particulièrement intéressante a eu lieu mi-2023 et ciblait les utilisateurs potentiels de la plateforme d'IA Midjourney. Cette campagne exploitait plusieurs des fonctionnalités mentionnées précédemment : des publicités Google malveillantes étaient probablement diffusées depuis des comptes compromis.

Un utilisateur recherchait Midjourney et le premier résultat était le site web désormais fermé « ai.mid-journey.org », qui était promu via Google Ads. Cliquer sur la publicité redirigeait l'utilisateur vers une page de destination personnalisée.

La page d'accueil était plutôt sophistiquée et bien conçue pour inciter l'utilisateur à télécharger l'application Windows. À noter : le message en rouge « Il est possible que les systèmes de sécurité de l'ordinateur se déclenchent par erreur » et l'absence d'une option pour macOS.

Distribution des journaux d'informations (voleur) 

Les grumes de voleur sont distribuées de quatre manières principales :

  • Chaînes de télégramme : Les chaînes Telegram constituent le principal vecteur de distribution de logiciels espions en 2025. Les chaînes automatisées diffusent en masse des journaux de vol d'informations regroupés (généralement des fichiers contenant des centaines, voire des milliers, de journaux). Les acteurs malveillants utilisent leurs salons publics pour asseoir leur réputation et leur crédibilité, et parfois pour promouvoir leurs chaînes privées, accessibles uniquement par abonnement mensuel payant.
  • Chaînes privées de télégrammeCes plateformes exigent le paiement d'un abonnement mensuel et limitent parfois le nombre d'utilisateurs (de 5 à 20 personnes). Les prix varient de 100 $ à 500 $ par mois et dépendent fortement de la réputation de l'acteur malveillant et de la fréquence de publication des journaux d'activité.
  • Journaux en directIl arrive que des acteurs malveillants vendent l'accès à des journaux d'activité en temps réel. Dans ce cas, Telegram sert de serveur dorsal où les journaux sont envoyés directement dès qu'une victime est infectée. La pertinence temporelle de ces journaux est cruciale : les plus récents contiennent plus souvent des cookies de session valides et des identifiants inchangés, offrant ainsi à l'acteur malveillant une opportunité maximale d'obtenir un accès non autorisé aux services essentiels.
  • Marché russe : Russian Market est une plateforme fonctionnant sur le dark web, permettant aux distributeurs de logiciels espions de mettre en ligne en masse des journaux de connexion vendus 10 dollars pièce. Russian Market permet également aux acheteurs de consulter ces journaux et d'identifier ceux contenant les identifiants qu'ils souhaitent compromettre avant l'achat.

Journal de voleur à acheter et à télécharger

Le temps et la pertinence des journaux des voleurs d'informations

À l'instar des produits de boulangerie, les données de vol de données sont plus recherchées lorsqu'elles sont fraîches et se détériorent étonnamment vite. Les acteurs malveillants privilégient les données les plus récentes (et sont prêts à les payer) pour plusieurs raisons : 

  • Les journaux d'activité récents sont beaucoup plus susceptibles de contenir des cookies de session actifs, qui peuvent être utilisés pour contourner l'authentification multifacteur (MFA) sur les applications web. Pour ce faire, les acteurs malveillants utilisent un navigateur dit « anti-détection ». 
  • Les acteurs malveillants accordent une importance disproportionnée aux journaux d'activité récents, car les cookies de session y sont plus susceptibles d'être valides. 
  • L’utilisation de nouveaux journaux réduit également la probabilité qu’un autre acteur malveillant ait déjà eu accès aux ressources financières, aux portefeuilles de cryptomonnaies et à d’autres données contenues dans le journal du voleur.

Cas d'utilisation des journaux de vol d'informations

Pourquoi les acteurs malveillants utilisent-ils des voleurs d'informations ? Les principaux cas d'utilisation sont la fraude et — sans grande surprise — le gain financier. 

  1. Reprises de comptes : Les voleurs d'informations capturent les identifiants de connexion depuis les navigateurs, les clients VPN et les applications de bureau à distance. Ils récupèrent également les cookies et jetons de session, ce qui leur permet de contourner l'authentification multifacteurs et d'accéder instantanément aux systèmes d'entreprise. Ils constituent ainsi un outil idéal pour la prise de contrôle de comptes et les détournements internes.
  2. Gain financier: Les identifiants volés se vendent sur les marchés du dark web pour des prix allant de 1 $ à plusieurs centaines de dollars, selon leur valeur. De plus, l'accès aux fichiers de portefeuilles, aux identifiants bancaires et aux phrases de récupération de cryptomonnaies peut être utilisé pour vider directement les comptes.
  3. Pour les attaques futures : Les voleurs d'informations constituent souvent la première étape des attaques par rançongiciel ou par extorsion de données. Ils permettent courtiers d’accès initial (IAB) Collecter et vendre des points d'entrée dans les environnements d'entreprise. Ces données servent à élever les privilèges, à se déplacer latéralement et à déployer des logiciels malveillants plus destructeurs.

Les acteurs de la menace sont principalement pas L'objectif n'est pas de compromettre les comptes d'entreprise, ni la raison pour laquelle la grande majorité des acteurs malveillants les utilisent ; un flux de travail typique pourrait plutôt ressembler à ceci :

1. Les acteurs malveillants traitent les journaux téléchargés via des applications de « vérification » spécialisées qui :

  • Valider l'authenticité du cookie de session
  • Filtrer les journaux en fonction de paramètres personnalisables
  • Signaler les cibles à forte valeur ajoutée (par exemple, les séances de services financiers actives)
  • Prioriser les journaux contenant des accès authentifiés à des services importants

L'outil de vérification sert essentiellement de système de triage, permettant aux acteurs d'identifier et de prioriser rapidement les comptes compromis potentiellement les plus précieux parmi de grands lots de journaux.

Un acteur malveillant utilise un outil de vérification pour identifier les journaux de grande valeur.

2. L'acteur utilise ensuite un navigateur anti-détection pour usurper l'identité de la session de la victime sur des journaux de services financiers spécialement sélectionnés.

Capture d'écran d'un navigateur anti-détection extraite d'un tutoriel vidéo sur l'usurpation d'identité lors de sessions

3. L'acteur accède au compte et transfère de l'argent ou achète des cryptomonnaies en utilisant le compte bancaire de la victime.

Logiciels malveillants voleurs d'informations et cybersécurité d'entreprise

Les voleurs d'informations sont passés largement inaperçus auprès des équipes de sécurité des entreprises, en particulier celles des petites structures ou de celles dont le niveau de sécurité est moins sophistiqué. Malheureusement, ils ont pas Passant inaperçu auprès des acteurs malveillants cherchant des moyens faciles de compromettre les environnements informatiques d'entreprise. 

Pourquoi ? Des millions d'employés aux États-Unis enregistrent leurs identifiants professionnels sur leurs ordinateurs personnels et se retrouvent ensuite victimes de logiciels malveillants voleurs d'informations. Nos propres recherches ont mis en évidence cela.Sur plus de 33 000 journaux d'activité de vol de données, 30 % des systèmes compromis étaient des appareils d'entreprise, c'est-à-dire des appareils professionnels. Nous avons également constaté que 46 % des appareils compromis susceptibles de contenir des identifiants d'entreprise n'étaient pas gérés. Ces violations auraient donc pu être évitées grâce à un meilleur contrôle des appareils personnels (BYOD) ou à une lutte plus efficace contre l'informatique parallèle.

L'ironie réside dans le fait que les cybercriminels ne ciblent généralement pas les employés d'entreprise dans leurs campagnes de vol d'informations. Cependant, si un pirate infecte des dizaines de millions d'ordinateurs, un nombre considérable d'identifiants d'entreprise et de cookies de session seront inévitablement dérobés.

Ce phénomène est bien connu des groupes de Rançongiciels et autres organisations criminelles ciblant les entreprises. Les auteurs de Rançongiciels et les courtiers en accès initial exploitent directement les journaux de vol de données et les infections par des logiciels malveillants voleurs d'informations pour accéder aux systèmes informatiques des entreprises. 

Pour en savoir plus sur les acteurs malveillants et les journaux de vol de données d'entreprises, consultez notre rapport. Journaux des voleurs, authentification unique et nouvelle ère de la cybercriminalité en entreprise.

Logiciels voleurs d'informations et courtiers d'accès initial

Les logiciels malveillants de type vol d'informations constituent probablement l'un des moyens les plus courants utilisés par les courtiers d'accès initial pour pénétrer dans les réseaux d'entreprise. Courtiers d'accès initial (IAB) servir de service « premium » aux groupes de Rançongiciels et autres entités criminelles, en obtenant un accès initial aux systèmes informatiques des victimes, puis en les revendant aux enchères. Forums de cybercriminalité en langue russe.

Message sur un forum provenant d'un courtier d'accès initial

Lorsque des millions d'identifiants d'entreprise et de cookies de session circulent sur Telegram, cela réduit considérablement le besoin pour les acteurs malveillants de lancer des attaques plus complexes telles que le spear-phishing ou l'exploitation des vulnérabilités des hôtes accessibles au public.

Un intermédiaire d'accès initial fait la publicité de journaux de connexion à vendre sur le forum de cybercriminalité russe XSS.

Par exemple, une attaque facilitée par un courtier d'accès initial pourrait ressembler à ceci :

  1. IAB achète un journal de vol d'informations auprès d'un marché Web sombreLe journal contient des identifiants, des cookies de session et d'autres données sensibles provenant de plusieurs victimes.
  2. Parmi les éléments relevés, ils identifient une cible de grande valeur : les identifiants d’un utilisateur possédant une adresse électronique provenant d’une entreprise de services financiers de taille moyenne.
  3. En utilisant un serveur privé virtuel (VPS) ou un proxy pour correspondre à l'emplacement géographique de la cible, l'IAB tente de se connecter au VPN de la société financière avec les identifiants volés.
  4. La connexion est réussie et l'accès au réseau interne leur est accordé.
  5. L'IAB installe un outil d'accès à distance (RAT) dissimulé pour maintenir le contrôle même si le mot de passe du VPN change.
  6. Ils créent un compte administrateur caché pour pouvoir se reconnecter si le point d'accès initial est détecté ou fermé.
  7. À l'aide du RAT, l'IAB cartographie le réseau, identifiant les systèmes clés tels que les serveurs de fichiers, les bases de données et les applications sensibles.
  8. Ils collectent davantage d'identifiants internes, notamment les mots de passe d'administrateur, à l'aide d'outils comme Mimikatz.
  9. L'IAB recueille les détails de l'accès qu'ils ont obtenu :
  • Identifiants de connexion VPN
  • Accès administrateur privilégié à des systèmes spécifiques
  • Carte du réseau et localisation des documents financiers sensibles
  1. Ils proposent ce forfait sur un forum du dark web, le présentant comme un « accès de niveau administrateur à une entreprise de services financiers de taille moyenne » et fixant un prix de départ.
  2. L'IAB fournit des conseils sur la navigation au sein du réseau et tous les détails nécessaires pour assurer une transition en douceur.
  3. Le groupe de Rançongiciels utilise cet accès pour déployer un Rançongiciels sur le réseau, cryptant les données financières et exigeant une rançon de l'entreprise.

Les journaux de voleurs et l'écosystème croissant de la cybercriminalité

Nul n'ignore que la cybersécurité est un domaine conflictuel ; toutefois, au cours de la dernière décennie, la nature des infractions a évolué. L'économie de la cybercriminalité est immense – elle se chiffre en centaines de millions – et des acteurs allant du loup solitaire aux groupes très organisés l'exploitent à des fins lucratives. 

La complexité de l'écosystème est une source de sa force. Chaque fournisseur se spécialise dans une partie particulière de la chaîne d'attaque, ce qui permet une spécialisation des rôles et donc une évolutivité grâce à «chaîne de production de la cybercriminalité« Si un acteur devait concevoir sa propre variante de voleur d'informations, la distribuer, collecter les identifiants et les exploiter, le processus serait beaucoup plus lent. »

Surveillance des grumes de voleurs avec torchère

La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.

Notre client a récemment déclaré : « Les journaux des voleurs ont été les [sources] où nous avons trouvé les renseignements les plus exploitables concernant les identifiants divulgués. »

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.

Partager l'article

Publications connexes

Tout voir
04.15.2026

Surveillance des cyberattaques directement liées au conflit militaire américano-israélo-iranien

En savoir plus
04.14.2026

La chaîne de destruction d'identité : une histoire complète de la sécurité de l'identité, des mots de passe aux agents d'IA

En savoir plus
04.09.2026

État du Dark Web en 2026 : Écosystème de cybercriminalité russophone, menace persistante des logiciels malveillants voleurs d’informations et de Telegram

En savoir plus