(Info)Stealers

La nouvelle menace

© Hexadream 2025
[TALK.]
Introduction et écosystème

© Hexadream 2025
 Définition
• Les Stealers (ou infostealers) sont devenus l'outil de prédilection des cybercriminels pour
accéder rapidement aux données d'entreprises mais aussi à leurs SI.
• Ces malwares, capables de dérober des informations sensibles comme les mots de passe
enregistrés des cookies ou des frappes clavier, sont d'une efficacité redoutable, et difficilement
détectable.
• Rappelons que la finalité "principale" est de revendre les informations d'identification sur des
marketplaces dédiées ou encore via des initial access brokers. Dans le cas d'un groupe
structuré, il s'agit de les exploiter !
• Ils n'ont pas tous des TTPs (Techniques, Tactiques et Procédures) sophistiqués, mais ils sont
souvent utilisés par les attaquants car la valeur des informations volées est des centaines de fois
supérieure au coût relativement faible de ces outils.

© Hexadream 2025
 Leaks <3 Stealers
• Ces derniers mois, notamment sur Breached*, on retrouve énormément de leaks en vente
malheureusement liés principalement à des stealers.
• J’ai effectué une rapide analyse des entreprises touchées, et en France, 80 % des leaks sont effectivement
liées à ces outils.
• L ’attaquant, dans ce cas, prend très peu de risques : il se contente de récupérer les données sans
déclencher d’alertes.

Évaluation des Extraction des

Récolte des Accès au Communication
expositions leaks (gratuits, Extraction et
Identification de domaines et système avec Mise en vente
(buckets, blobs, Telegram, analyse des
la victime. des d’information l’entreprise des données.
dorks, secrets marketplaces, données.
partenaires. (optionnel). (optionnel).
GitHub, etc.). etc.).

© Hexadream 2025
* Forums de vente de leaks
Infostealer : Que volent-ils ?

© Hexadream 2025
Evolution des Infostealer

© Hexadream 2024
Traffers : le cœur du système

© Hexadream 2024 8
Kill Chain
Infrastructures des stealers

© Hexadream 2025
 Où sont-ils hébergés ?
Les stealers sont généralement hébergés sur des infrastructures appelées hébergeurs bulletproof.

• Tolérance à l’hébergement d’activités illicites.

• Réponse minimale ou inexistante aux signalements d’abus.
• Utilisation d’infrastructures redondantes pour masquer les serveurs malveillants.
Vente de stealers et de logs

© Hexadream 2025
Où et comment sont-ils vendus ?
• Les infostealers sont généralement vendus sur des forums dédiés au cybercrime lors de leur annonce initiale,
puis échangés ou distribués via des plateformes comme Jabber.
• Des échanges peuvent également avoir lieu sur des canaux Telegram.
• Cependant, depuis les récents changements des conditions d'utilisation de Telegram, les vendeurs sont
devenus de plus en plus méfiants à l'égard de cette plateforme.
• On y trouve principalement des bots automatisés permettant l'achat et la vente de logs.

© Hexadream 2025
Où et comment sont-ils vendus ?

© Hexadream 2025
La vente des données : Canaux telegram
• Telegram est l’une des sources les plus prisées pour accéder à des informations ayant fuité.
• On y trouve deux types principaux de canaux : gratuits et privés. Ces canaux peuvent centraliser et revendre
des logs pour générer des bénéfices.
La vente des données : Canaux telegram
• Il existe plus de 100 opérateurs sur les forums du cyber crime et les canaux Telegram !
• En plus des classiques tels que Redline, Vidar et Raccoon, de nouveaux stealers comme Aurora, Meta et Titan se
font remarquer !
La vente des données : Marketplace

© Hexadream 2025
La vente des données

© Hexadream 2025
Structure des logs de stealers

© Hexadream 2024
Structure du fichier de mots de passe

© Hexadream 2025
Retours sur des attaques stealers

© Hexadream 2025
Compromission Snowflake

© Hexadream 2024
Compromission Snowflake
Infection via Captcha URL

© Hexadream 2024
Infection via Captcha URL

© Hexadream 2024
Compromission par supply chain
Compromission par Youtube & Cracks
Exploiter les données de stealers
pour de l’ OPSEC

© Hexadream 2025
 Stealer pour de l’OPSEC & Threat hunting
• Vous pouvez utiliser des fichiers contenant des détails utilisateur pour identifier des éléments particulièrement
intéressants. Ces informations permettent également de remonter rapidement à la source initiale de l’infection.
• Une image ou un fichier lié à la première infection est souvent disponible pour analyse.
• L’identification des modes opératoires permet également de préparer un plan de sensibilisation bien ciblé.

© Hexadream 2025
 Leaks for Opsec and Threat hunting
Vous pouvez suivre l’activité via ANY.RUN (ou équivalent), qui fournit des statistiques intéressantes ainsi que des
IoCs particulièrement pertinents.

© Hexadream 2024
 Leaks for Opsec and Threat hunting
SEKOIA est l’une des rares entreprises à fournir une CTI publique de qualité sur les activités des
infostealers.

© Hexadream 2024
Se protéger contre les stealers

© Hexadream 2025
 Comment se protéger ?

• Bloquer les plateformes/domaines pouvant être utilisées pour propager des

malwares, comme les sites Torrent/Warez.
• Surveiller tout comportement inhabituel des endpoints et les communications
réseau suspectes afin de détecter et bloquer l’exfiltration de données par des
malwares.
• Exploiter les IoCs disponibles sur les plateformes publiques pour surveiller et
prévenir les infections par des malwares.
• Sensibiliser les employés
• Éviter de télécharger des logiciels piratés
• Utiliser des mots de passe robustes et appliquer l’authentification multifacteur
(MFA) autant que possible.

© Hexadream 2024
 Blocage des TLDs

LokiBot : ru, com, net, xyz, au, id, shop, ps, ir, online, org, ro, site, cc, click,
ua, co, se, in, vn, ca, br, pe, info, su, us, top, pro, cfd, cam, biz, my, asia,
sbs, eu, za, nl, tel
Lumma : pw, fun,wyz
NanoCore : org, host, gg, net, de, io, com, rocks, info, ch, club, me, ovh, fr,
pub, to
njRat : gg, org, io, net, tr, com, click, biz, live, ph, ru, xyz, plus, host, cloud,
site
RecordBreaker : (aucun TLD trouvé)
RedLine : net, gg, site, org, com, shop, ug

© Hexadream 2024
Blocage des TLDs
ET PUIS VOUS CONNAISSEZ LE RESTE POUR FAIRE
VOTRE VEILLE …
Merci pour votre présence !
© Hexadream 2025
Merci pour
votre
Présence
39
Sources

• https://www.lemagit.fr/tribune/Vol-didentifiants-quand-sefface-la-
frontiere-entre-personnel-et-professionnel
• https://www.first.org/resources/papers/conf2023/FIRSTCON23-
TLPCLEAR-Kim-Info-Stealer-Most-Bang-for-the-Buck-Malware.pdf
• https://blog.sekoia.io/fr/apercu-de-lecosysteme-infostealer-
russophone-et-ses-canaux-de-distribution/
• https://blog.sekoia.io/fr/traffers-une-plongee-dans-lecosysteme-
des-voleurs-dinformations/
• https://www.hunters.security/en/blog/chrome-extension-threat-
campaign
© Hexadream 2024