Kaspersky signale un malware se faisant passer pour Roblox et des modérateurs GTAV pour voler des données crypto

Kaspersky a mis en garde contre un nouveau malware qui se cache comme des mods de jeux vidéo et triche pour des titres populaires comme Roblox et GTAV, ciblant wallets crypto.

Surnommé « Stealka », ce nouveau voleur d’informations peut « détourner des comptes, voler des cryptomonnaies et installer un mineur de cryptomonnaies sur les appareils de leurs victimes », a averti Kaspersky dans un récent article de blog.

« Le plus souvent, ce voleur d’informations se déguise en cracks de jeux, triches et mods », ajouta-t-il.

Pour ceux qui ne le savent pas, les voleurs d’informations sont une catégorie de malwares qui permet aux acteurs malveillants d’extraire des informations confidentielles de l’appareil d’une victime et de les envoyer à un serveur distant.

Par le passé, les utilisateurs de cryptomonnaies ont été systématiquement ciblés en utilisant ce vecteur d’attaque, souvent via une variété d’applications, de sites web et de packages d’installation déguisés.

Comment Stealka cible-t-il les utilisateurs de cryptomonnaies ?

Selon la société de cybersécurité, les cybercriminels distribuent Stealka sur des plateformes légitimes comme GitHub, SourceForge et Google Sites, où ils sont téléchargés sous forme de logiciels et de mods crackés pour des jeux et applications populaires.

Puisque ces plateformes jouissent d’une réputation de fiabilité et hébergent une vaste communauté open source et de joueurs, elles offrent aux attaquants un moyen pratique d’atteindre un large nombre d’utilisateurs sans méfiance.

Le malware s’active dès qu’un utilisateur télécharge le fichier malveillant et l’exécute sur son système.

Kaspersky estime que la campagne est active depuis au moins novembre 2025, et des cas du malware ont été trouvés imitant diverses applications et jeux populaires. Voir ci-dessous.

« Parfois, cependant, les attaquants vont plus loin (et utilisent peut-être des outils d’IA) pour créer des sites web complets qui paraissent assez professionnels. Sans l’aide d’un antivirus robuste, l’utilisateur moyen est peu susceptible de remarquer qu’il y a un problème », a ajouté Kaspersky.

Cependant, il a noté que certains de ces faux sites peuvent présenter des signes subtils, comme des noms de produits dépareillés ou des descriptions étranges sous forme d’affirmations exagérées qui ne correspondent pas au logiciel réellement proposé.

Dans certains cas, ces sites malveillants prétendent aussi scanner des fichiers en utilisant les logos des fournisseurs d’antivirus pour assurer aux utilisateurs que les téléchargements sont sûrs, mais en réalité, ce n’est qu’une tactique bon marché pour les tromper et les pousser à baisser leur garde.

« Bien sûr, aucun scan de ce type n’a lieu ; les assaillants cherchent simplement à créer une illusion de fiabilité », a déclaré Kaspersky.

Une fois installé, Stealka cible les données des navigateurs développés sur les moteurs Chromium et Gecko, deux des plateformes les plus utilisées qui servent de base à de nombreux navigateurs populaires, dont Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, entre autres.

À partir de là, il peut voler des données d’autoremplissage telles que les identifiants de connexion, les adresses enregistrées et les détails des cartes de paiement.

Kaspersky a également constaté que le malware peut cibler les paramètres et bases de données de 115 extensions de navigateur pour wallets crypto, notamment Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask et d’autres, ainsi que des services d’authentification à deux facteurs comme Authy et Google Authenticator.

Notamment, au moins 80 applications de portefeuille pourraient être en danger, car les données de configuration des portefeuilles contiennent des détails sensibles tels que les clés privées, les données de phrases de départ, les chemins de fichiers du portefeuille et les paramètres de chiffrement, a indiqué Kaspersky.

Comment protéger vos actifs crypto

Pour empêcher Stealka et d’autres logiciels malveillants de compromettre les données des utilisateurs, Kaspersky conseille d’utiliser un antivirus fiable et encourage les utilisateurs à éviter les logiciels piratés et les mods de jeux non officiels.

En guise de mesure de sécurité supplémentaire, Kaspersky encourage les utilisateurs à éviter de stocker des informations sensibles dans les navigateurs.

Les vecteurs d’attaque utilisés par les voleurs d’info-attaque pour cibler les utilisateurs de cryptomonnaies évoluent constamment, ce qui rend ces menaces particulièrement préoccupantes.

Par exemple, le mois dernier, l’équipe de recherche en cybersécurité SpiderLabs a découvert une campagne majeure qui promouvait l’Eternidade Stealer en utilisant des tactiques complexes d’ingénierie sociale pour déployer des malwares sur WhatsApp.

En septembre dernier, ModStealer, un autre infostealer furtif, a été découvert en train de cibler wallets crypto-monnaie sur Windows, Linux et macOS tout en évitant les principaux moteurs antivirus.