Logiciel malveillant RedLine Stealer : le guide complet

14 février 2023

Cet article a été mis à jour le 30 septembre 2025.

Bien que les attaques de phishing et les liens Web malveillants conduisent souvent à attaques de RançongicielsDe nombreux logiciels malveillants diffusent d'autres types de logiciels malveillants. Ces dernières années, les acteurs malveillants ont de plus en plus recours à ces technologies. variantes de logiciels malveillants infostealer obtenir les qualifications des employés.

L'une des variantes de vol d'informations les plus courantes est RedLine, qui fut à une époque le logiciel malveillant de vol d'informations le plus répandu. Selon les recherches de Kaspersky, RedLine a été utilisé dans 51 % des infections par vol d'informations entre 2020 et 2023.Bien que l'utilisation de RedLine ait diminué ces dernières années, elle reste largement employée dans les attaques. Des données récentes d'IBM l'ont démontré. RedLine est la cinquième variante de vol la plus utilisée, bien que Lumma soit désormais la plus populaire.

fichier journal du logiciel malveillant RedLine Stealer

Qu'est-ce qu'un logiciel malveillant Infostealer ?

Les logiciels malveillants voleurs d'informations, également appelés voleurs ou logiciels espions, sont un élément essentiel de l'écosystème de la cybercriminalité. Les informations volées lors d'une attaque de ce type sont conditionnées dans des de fichiers cleptogicielsqui sont souvent utilisées ultérieurement pour perpétrer de futures attaques. 

Les logiciels malveillants voleurs d'informations sont un type de cheval de Troie d'accès à distance (RAT). Les attaquants infectent généralement l'appareil de la victime par le biais d'une attaque d'ingénierie sociale, en diffusant le logiciel malveillant via des pièces jointes, des sites web ou des publicités malveillants.

Aperçu de l'appel à l'action du blog RedLine Stealer
Surveillance des journaux des voleurs

Vos identifiants figurent-ils dans un journal RedLine ?

RedLine et d'autres groupes de voleurs d'informations ont compromis des millions d'appareils. Flare surveille les journaux d'activité de ces groupes sur les places de marché du dark web et les canaux Telegram, vous permettant ainsi de détecter et de corriger les identifiants exposés avant qu'ils ne soient exploités.

Des millions de journaux de voleurs surveillés quotidiennement
Couverture en temps réel du canal Telegram
Essayez gratuitement

Une fois téléchargé sur l'appareil de la victime, le logiciel malveillant récupère des informations sensibles, comme les identifiants enregistrés dans un navigateur, et renvoie ces données à l'attaquant. 

Les méthodes typiques de collecte de données comprennent l'utilisation :

  • Récupérateurs de formulaire : intercepter et copier les données que les utilisateurs envoient dans les formulaires
  • Enregistrement de frappe: enregistrer les touches que les gens frappent sur leur clavier

La plupart des variantes de logiciels malveillants infostealer ciblent :

  • Services bancaires en ligne
  • Sites de média sociaux
  • Comptes de messagerie
  • Comptes FTP
  • Plateformes de commerce électronique
  • Portefeuilles de crypto-monnaie

Les informations volées sont compilées dans un journal des voleurs, puis distribuées ou vendues à d'autres acteurs malveillants sur des plateformes de cybercriminalité du dark web (comme Russian Market), sur des forums dédiés à ces acteurs, ou via une plateforme de messagerie. Telegram

Des acteurs malveillants partagent des journaux de vol de données sur une chaîne Telegram illicite.

Les journaux des voleurs, et les identifiants qu'ils contiennent, sont ensuite utilisés par ces autres criminels pour lancer leurs propres cyberattaques.

Quel est le rôle des identifiants volés dans la cybercriminalité ? 

Les attaques par usurpation d'identité sont extrêmement fréquentes. Celles de Verizon Rapport d'enquête sur les violations de données (DBIR) 2025 constaté que 88 % des attaques contre des applications web l'année dernière ont commencé par des identifiants volés. Dans le contexte de la cybercriminalité, les identifiants volés sont généralement synonymes de journaux de vol. 

88 % des attaques contre les applications web commencent par l'utilisation d'identifiants volés (ce qui signifie souvent des journaux de voleurs).

Il existe également une forte corrélation entre les Rançongicielss et les journaux des voleurs d'informations. Selon le DBIR, 54 % des identifiants des victimes de Rançongicielss ont été retrouvés dans les journaux des voleurs d'informations, et 40 % de ces journaux contenaient des adresses électroniques professionnelles.

Bien que les organisations aient tenté de prévenir les attaques basées sur les identifiants en mettant en œuvre l'authentification multifacteur (AMF), des acteurs malveillants ingénieux ont trouvé des moyens de contourner l'AMF, soit en utilisant des cookies pour détourner des sessions, soit en bombardant les utilisateurs de notifications d'AMF. Attaques de fatigue MFA.

Qu'est-ce que RedLine Stealer ?

Découvert à l'origine dans Mars 2020Les attaquants ont initialement diffusé le logiciel malveillant RedLine par le biais d'une campagne de courriels usurpant l'adresse électronique d'une entreprise de recherche légitime sur un traitement contre le coronavirus. La variante RedLine, voleuse d'informations, propose un outil de capture de fichiers personnalisable, permettant aux attaquants de récupérer des identifiants depuis les navigateurs web, les portefeuilles de cryptomonnaies et les applications, notamment :

  • Navigateurs Chrome
  • Navigateur basé sur Gecko, comme Mozilla Firefox
  • Clients FTP
  • Applications de messagerie instantanée
  • Applications VPN

RedLine collecte les informations suivantes à partir des navigateurs des utilisateurs :

  • Identifiants et mots de passe
  • Cookies
  • Remplir automatiquement les champs du formulaire
  • Données de carte de crédit
  • Historiques de navigateur ;

De plus, RedLine Stealer collecte également des informations à partir de l'appareil compromis, notamment :

  • Votre adresse IP
  • Pays
  • Ville
  • Nom d'utilisateur actuel
  • Identification du matériel (HWID)
  • Clavier
  • Captures d'écran
  • Résolution de l'écran
  • Système exploitation
  • Paramètres de contrôle de compte d'utilisateur (UAC)
  • User-Agent
  • Informations sur le matériel informatique
  • Outils antivirus installés
  • Données sur les privilèges en cours d'exécution
  • Données/fichiers de dossiers communs

Bien que RedLine Stealer existe depuis 2020, des acteurs malveillants continuent de le déployer. En janvier 2023, chercheurs ont observé des acteurs malveillants diffusant la variante du logiciel malveillant à l'aide de fichiers OneNote.

À mesure que les organisations adoptent davantage de technologies basées sur le cloud, les acteurs malveillants chercheront de plus en plus à voler des informations d'identification et à faire évoluer leur utilisation du logiciel malveillant RedLine Stealer.

Capture d'écran du panneau RedLine affichant les statistiques relatives aux journaux collectés.

RedLine a connu une utilisation et une popularité généralisées jusqu'au 28 octobre 2024, date à laquelle L'opération Magnus a perturbé l'infrastructure de RedLine.Des membres de la police nationale néerlandaise, du FBI et d'autres services de police ont saisi des serveurs, des noms de domaine et des chaînes Telegram associés à RedLine et META.  

Cependant, malgré cette perturbation, RedLine est toujours en service. 

Comment les acteurs de la menace achètent et utilisent RedLine Stealer

RedLine Stealer est un Malware-as-a-Service (MaaS), ce qui permet aux acteurs malveillants de l'acheter puis de vendre les données volées sur des forums du dark web. 

Fichiers malveillants voleurs de RedLine, tels qu'ils apparaissent dans Flare

RedLine Stealer est un Malware-as-a-Service (MaaS), donc les pirates peuvent l'acheter puis revendre les données volées sur les forums du dark web. 

Qu'est-ce qu'un logiciel malveillant en tant que service (MaaS) ?

Logiciels malveillants en tant que service (MaaS) est le processus par lequel des acteurs malveillants suivent le modèle économique d'abonnement Software-as-a-Service (SaaS) pour gagner de l'argent grâce à leur code malveillant. Les acteurs de la menace proposent des licences à vie ou des abonnements mensuels qui comprennent :

  • Programme malveillant
  • Infrastructure du centre de commande et de contrôle (C&C)

Les fournisseurs MaaS font la même chose que les fournisseurs SaaS :

  • Offrir l'accès à une plateforme en ligne
  • Générez des comptes d'utilisateurs pour que les clients puissent gérer l'attaque
  • Fournir une assistance technique lorsque les clients ont besoin d'aide avec la plateforme

Avec l'abonnement, les acteurs malveillants peuvent recevoir, trier et extraire des informations des journaux des appareils compromis. 

Comment fonctionne l'écosystème MaaS ?

Le Écosystème MaaS se compose de forums en ligne agissant comme des places de marché. Trois acteurs malveillants de base doivent interagir :

  • Quelqu'un qui vend des logiciels malveillants
  • Quelqu'un qui vend des données volées
  • Une personne qui souhaite utiliser les données volées pour commettre d'autres crimes, comme la fraude.

Les acteurs malveillants annoncent leurs logiciels malveillants sur des forums avec des listes qui définissent la fonctionnalité du logiciel malveillant, notamment :

  • Les données qu'il collecte 
  • Logiciels pris en charge
  • Lieux de collecte de données
  • Capacités de personnalisation
  • Paramètres de la plateforme
  • Tâches qu'il accomplit

Après avoir acheté et déployé le logiciel malveillant, les clients vendent ensuite ces données sur des forums Web sombres, comme le marché russe, avec des listes qui incluent généralement :

  • Famille de logiciels malveillants Stealer
  • Système d'exploitation de l'appareil
  • Pays d'origine de l'appareil
  • Fournisseur d'accès Internet victime
  • Liste des informations d'identification de service disponibles
  • Contenu du répertoire archivé 
  • Date d'infection de l'appareil

Vous voulez en savoir plus sur le cycle de vie d'une attaque de malware voleur ? Découvrez notre reportage, Disséquer le cycle de vie des logiciels malveillants Dark Web Stealer avec le framework MITRE ATT&CK.

Chaînes RedLine Stealer et Telegram

Les acteurs malveillants utilisent de plus en plus Application de messagerie télégramme pour acheter et déployer leur logiciel malveillant voleur de données RedLine. 

Telegram est populaire auprès des acteurs malveillants pour plusieurs raisons :

Les groupes Telegram illicites peuvent offrir un plus grand sentiment d'anonymat.

Les sources du dark web peuvent faire l'objet d'une surveillance étroite de la part des équipes de cybersécurité et de divers organismes d'application de la loi. Telegram, en revanche, est un peu plus difficile à surveiller. 

  • La fonctionnalité « messages éphémères » de Telegram permet aux chaînes de supprimer automatiquement les messages après un certain laps de temps.
  • Le flux rapide des messages Telegram relègue les messages plus anciens en bas du fil d'actualité, ce qui rend difficile leur recherche, même s'ils existent encore.
  • Les politiques de confidentialité strictes de Telegram pourraient rassurer les acteurs malveillants.
 Un message Telegram publié sur le canal officiel de RedLine fait la promotion de leurs fonctionnalités.

Les groupes de télégrammes illicites peuvent être plus faciles à utiliser

Comparé aux difficultés d'accès aux sources du dark web, Telegram est beaucoup plus accessible :

  • Le service ne nécessite qu'un numéro de téléphone portable (qui peut être masqué)
  • Les chaînes Telegram n'ont pas besoin de nom de domaine pour proposer des services et des outils à la vente.
  • Si une chaîne Telegram est interrompue par les forces de l'ordre, il est facile d'en créer une nouvelle.
  • Tant que le service Telegram restera en ligne, les acteurs malveillants le pourront également.

De plus, la popularité croissante de Telegram en tant que plateforme de messagerie incontournable en fait une cible pour les pirates informatiques. Par exemple, des acteurs malveillants ont dissimulé un Variante RedLine en tant qu'installateur de Telegram pour échapper à la détection.

Surveillance des grappins avec une fusée éclairante

Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.

Partager l'article

Publications connexes

Tout voir
05.04.2026

Surveillance des cyberattaques directement liées au conflit militaire américano-israélo-iranien

En savoir plus
04.29.2026

Du piratage de logiciels à l'accès complet à la FIFA : retracer la filière des voleurs d'informations pour la Coupe du monde 2026

En savoir plus
04.28.2026

Infographie : L'économie des kits de phishing

En savoir plus