Campagnes d’infostealers : distribution par des logiciels « crackés »

Le 12 septembre 2025, AhnLab Security intelligence Center (ASEC) a publié son rapport mensuel concernant les campagnes de distribution d’infostealers observées en août 2025.

Ces logiciels malveillants sont distribués à l’aide d’une stratégie appelée « SEO Poisoning », qui garantit que les pages de distribution apparaissent en tête des résultats des moteurs de recherche. Au mois d’août 2025, divers infostealers ont été distribués au travers de cette méthode, notamment LummaC2, ACRStealer et Rhadamanthys.

 

Pages de distribution de malwares (source : AhnLab)
Pages de distribution de malwares (source : AhnLab)

Précédemment, les acteurs de la menace distribuaient les infostealers via des publications sur leur propre blog, mais les moteurs de recherche ont ensuite retiré ces blogs malveillants des résultats. Par conséquent, le nombre de détections a baissé, mais les attaquants contournent désormais ce blocage en distribuant du contenu via des sites web légitimes. Ils utilisent des forums, des pages de questions/réponses, des sections de commentaire ou des communautés en ligne.
L’image suivante est un exemple de distribution sur des sites légitimes. Les publications publiées de cette manière apparaissent en tête des résultats de recherche, leur permettant de cibler un grand nombre d’utilisateurs.
 

Publication de distribution sur chromium.org (Source : AhnLab)
Publication de distribution sur chromium.org (Source : AhnLab)

Les infostealers sont ainsi distribués de deux façons : au format EXE et en utilisant la technique du DLL-SideLoading, qui mêle l’utilisation d’un EXE légitime et d’une DLL malveillante dans un même dossier de sorte que, lorsque l’exécutable légitime est lancé, le fichier DLL malveillant est exécuté dans la foulée. En août, 89,7% des infostealers distribués étaient des fichiers EXE et 10.3% des DLL. La charge utile d’une DLL malveillante est créée en ne modifiant qu’une portion d’un fichier DLL légitime et ressemble donc à la DLL d’origine. De cette façon, le logiciel malveillant peut échapper à la détection des solutions de sécurité.
À la mi-août, une campagne massive de publications sur Slack Marketplace a été observée. D’après les URLs enregistrées, plusieurs posts ont été créés sur la plateforme. La consultation de ces pages est désormais impossible, mais les URLs de téléchargement du logiciel « cracké » piégé, encore visibles dans les résultats de recherche, sont toujours actives.
 

Résultats de recherche pour des publications malveillantes sur Slack (Source : AhnLab)
Résultats de recherche pour des publications malveillantes sur Slack (Source : AhnLab)

Une autre campagne distribuant la nouvelle version d'ACRStealer, active depuis juin 2025, utilise une technique de dissimulation des serveurs C2 en modifiant les informations d'hôte dans les en-têtes HTTP(s) pour les remplacer par un domaine légitime. Par conséquent, les communications de l’infostealer sont vues comme légitimes par les produits de sécurité. Au début, les acteurs de la menace ont utilisé les domaines d'entreprises bien connues telles que Microsoft et Facebook. Cependant, depuis la mi-août, ils utilisent principalement des domaines appartenant à des entreprises de sécurité. De plus, ils sont passés de l'utilisation de domaines principaux à celle de sous-domaines plus complexes. Ces changements ont pour objectif à rendre la détection plus difficile.


Plusieurs bonnes pratiques permettent d’éviter le vol de données :

  • Mettre à jour régulièrement les systèmes d’exploitation et les applications avec les derniers correctifs de sécurité.
  • Utiliser un gestionnaire de mot de passe pour ne pas les stocker dans les navigateurs ou dans des fichiers et générer des mots de passe robustes et uniques.
  • Télécharger les logiciels sur les sites web des éditeurs. Ne pas utiliser de cracks.
  • Activer l’authentification 2FA
  • Rester vigilant lors de l’ouverture d’un courriel avec une pièce jointe et/ou une URL.
  • Utiliser un antivirus et un EDR pour détecter et bloquer les menaces.