34 groupes de hackers russophones mettent en vente des millions de mots de passe sur des canaux Telegram accessible à tout le monde. Tout cela a été rendu possible grâce à des « stealers », des logiciels malveillants populaires et peu coûteux.

Le vol de mot de passe est une activité très en vogue chez les hackers criminels. Plus de 50 millions d’identifiants et de codes secrets ont été dérobés grâce à des « stealers » — un cheval de Troie qui subtilise des informations – au cours des sept premiers mois de 2022 selon un rapport du Groupe-IB. Cette entreprise de cybersécurité a répertorié 34 collectifs de pirates, tous russophones, qui mettent en vente des informations récupérées sur des canaux Telegram. L’ensemble des données mis en ligne contient également 2,11 milliards de fichiers de cookies, 113 204 portefeuilles de crypto-monnaies et 103 150 numéros de cartes de paiement. « La valeur du marché souterrain des logs volés et des détails de cartes compromises est estimée à environ 5,8 millions de dollars » précise le rapport.

La majorité des victimes se trouvaient aux États-Unis, suivi par le Brésil, l’Inde, l’Indonésie, l’Allemagne, les Philippines et la France. Au total, plus de 890 000 appareils dans 111 pays ont été infectés durant cette période, dont plus de 30 000 dans l’Hexagone.

Groupe-IB a classé les fichiers volés en fonction de leur pays d'origine. // Source : Groupe-IB
Groupe-IB a classé les fichiers volés en fonction de leur pays d’origine. // Source : Groupe-IB

Entre 150 et 200 euros par mois

Si les stealers ont autant la côte, c’est aussi parce qu’ils sont déployés sous la forme de services payants. Des collectifs mettent en location leur logiciel malveillant de la même manière que le feraient des entreprises comme Microsoft ou Adobe. Leur coût est dérisoire puisqu’il dépasse rarement les 200 euros par mois. Redline est le plus populaire des stealers : 23 gangs de hackers sur les 34 répertoriés par Groupe-IB l’utilisent. Vient ensuite Racoon, exploité par huit groupes de pirates. Aurora est le dernier logiciel repéré par l’entreprise Sekoia.

Tous ces collectifs sont bien organisés : chaque membre est dédié à une tâche précise. Des liens vers des faux sites web sont intégrés dans les descriptions de vidéo YouTube sur les cryptos ou sur les jeux vidéo par exemple. Ces plateformes frauduleuses inciteront souvent les internautes à télécharger un fichier, contenant le fameux malware. Ce dernier s’infiltre ensuite dans les données du navigateur et raflent tout ce qu’il peut trouver. Parfois, les malfaiteurs cherchent directement à piéger leur victime de manière plus classique à travers un mail de phishing. De nombreux influenceurs ont ainsi perdu leur compte YouTube ou Instagram en l’espace de quelques secondes à cause de faux documents PDF promettant un partenariat.

Cette pratique met aussi en évidence un marché noir en libre accès sur Telegram. Les canaux sont accessibles à tous et le réseau social ne montre aucun signe de modération.