Infostealers : plus de 40 millions d’identifiants volés en France en 2023

C’est à croire que les utilisateurs d’infostealers ont choisi de faire des cadeaux pour les fêtes de fin d’année. Hudson Rock et Recorded Future ont collecté des volumes record d’identifiants distribués en ligne, au mois de décembre. 

Pour la seule France, Hudson Rock a identifié près de 1 100 collaborateurs d’entreprise concernés ce mois-là, pour près de 7 000 utilisateurs. Recorded Future a, de son côté, recensé plus de 6 millions deux cent trente mille identifiants compromis pour l’Hexagone, en décembre 2023.

Pour l’ensemble de l’année écoulée, le total s’établit donc à plus de 43 638 000 identifiants compromis en France, selon Recorded Future, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023.

La surprise vient des statistiques de détection du CERT Renater : après une semaine 42 record et une semaine 48 intense, l’année écoulée s’est achevée dans une relative tranquillité, avec un modeste pic à 308 machines infectées pour la semaine 50. 2024 ne commence pas plus rudement : un pic de 272 détections a été mentionné dans le bulletin statistique de la troisième semaine de l’année du CERT Renater. 2023 avait commencé beaucoup plus violemment.

Des cookies-revenants

La fin de l’année a été notamment marquée par des mises à jour majeures de quelques infostealers, dont Metastealer avec sa version 4.0. Au menu, en particulier : la capacité à restaurer des cookies de session Google expirés.

Cette fonctionnalité s’est rapidement répandue à d’autres infostealers : RisePro, Whitesnake, StealC, Lumma, Rhadamantys, Meduza, et Vidar. Amos, conçu pour macOS, est également de la partie.

Si Redline est l’infostealer le plus populaire de 2023, la concurrence se développe très rapidement. Les équipes de Sekoia.io relèvent ainsi xehook Stealer, vendu par le même acteur que celui à l’origine d’Agniane Stealer. Il est commercialisé via un canal Telegram. Ils ajoutent RadX Stealer, repéré fin décembre 2023, « visant très probablement les utilisateurs des jeux vidéo ».

À cela s’ajoute Atlantida Stealer, analysé récemment par Rapid7 et « potentiellement lié à ce malware découvert par Quentin Bourgue en février 2023 ». Fin décembre sont également apparus Foxy Stealer, et Rastro Stealer, suivis début 2024 par Asuka Stealer, loué 80 $/mois.

Les infostealers pour macOS continuent leur progression, trois d’entre eux s’attachant à passer outre les efforts de détection mis en œuvre par Apple avec son système Xprotect exploitant des signatures Yara, comme l’a souligné SentinelOne mi-janvier.