verifuite

Type de menace

Stealer log

Stealer log

Un stealer log (ou journal de vol) est le fichier de données généré par un infostealer (logiciel voleur d'informations).

Une fois qu'un ordinateur ou un smartphone est infecté, le malware s'attaque discrètement aux navigateurs web (Chrome, Edge, Firefox), aux applications de messagerie (Discord, Telegram) et aux portefeuilles de cryptomonnaies pour y extraire toutes les données stockées. Le malware compile ces données dans une archive (le log) et l'envoie silencieusement au serveur du cybercriminel.

Ces journaux de vol sont devenus l'une des matières premières les plus échangées dans la cybercriminalité moderne, alimentant d'autres types d'attaques.

Que contient un Stealer Log ?

Un log type est une véritable mine d'or pour un attaquant. Il contient généralement :

  • Mots de passe enregistrés : Tous les identifiants stockés dans le gestionnaire de mots de passe du navigateur.
  • Cookies de session : Les jetons qui permettent de rester connecté à un site sans retaper son mot de passe (Gmail, Facebook, intranets d'entreprise).
  • Historique et saisie automatique : L'historique de navigation complet et les données de remplissage automatique (noms, adresses, numéros de cartes bancaires partiels).
  • Empreinte numérique : Des informations sur la machine infectée (adresse IP, version de l'OS, configuration matérielle, captures d'écran du bureau).

Comment se produit l'infection ?

Les infostealers sont conçus pour être furtifs et très rapides. Les vecteurs d'infection les plus courants sont :

  • Logiciels piratés ("Cracks") : L'immense majorité des infections grand public provient du téléchargement de jeux ou de logiciels crackés sur des sites douteux ou via des vidéos YouTube.
  • Fausses publicités (Malvertising) : Des annonces sponsorisées sur les moteurs de recherche qui redirigent vers de faux sites officiels (ex: un faux site Notion, OBS ou VLC).
  • Phishing ciblé : Des e-mails contenant de fausses factures en pièce jointe ciblant les employés d'une entreprise.

Familles connues et marché noir

Les stealers sont généralement vendus sous forme d'abonnement (Malware-as-a-Service) à des prix dérisoires (quelques dizaines d'euros par mois), ce qui les rend accessibles à n'importe quel délinquant. Parmi les familles les plus actives aujourd'hui, on trouve Lumma, RedLine, Vidar ou encore Raccoon Stealer.

Une fois les logs exfiltrés, ils sont triés par des robots, puis revendus sur des marchés noirs (comme Russian Market ou Genesis Market, bien que ce dernier ait été démantelé) ou distribués en vrac sur des canaux Telegram appelés "Cloud de logs".

Pourquoi le risque est-il si élevé ?

Contrairement à une fuite de base de données classique où seul un hash de mot de passe est souvent exposé, un stealer log expose des sessions actuellement ouvertes. Avec les cookies volés, un attaquant peut contourner la double authentification (2FA) : le site pensera qu'il s'agit de votre propre ordinateur déjà vérifié.

Cela permet aux attaquants de s'introduire sur des réseaux d'entreprise (via les accès VPN volés aux employés) et de déployer, par exemple, des ransomwares.

Sources : Cybermalveillance.gouv.fr · MITRE ATT&CK (Credential Access)

Dernières fuites liées

Aucune fuite recensée pour le moment.