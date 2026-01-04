Les cybercriminels redoublent d’ingéniosité pour piéger les internautes. Selon une enquête menée par la Global Research & Analysis Team (GReAT) de Kaspersky, une campagne de malware-as-a-service (MaaS) vise actuellement les lecteurs de livres numériques en Turquie, en Égypte, au Bangladesh et en Allemagne.

Les attaquants dissimulent des logiciels malveillants sophistiqués derrière l’apparence de livres turcs et arabes à succès, incitant des centaines de victimes à télécharger des fichiers capables de dérober mots de passe, portefeuilles de cryptomonnaies et autres données sensibles stockées sur leurs ordinateurs.

De faux ebooks utilisés comme vecteurs d’infection

Les chercheurs de Kaspersky GReAT ont identifié une campagne reposant sur LazyGo, un nouveau loader développé en langage Go. Ce loader permet de diffuser plusieurs programmes spécialisés dans le vol d’informations. La campagne cible des utilisateurs à la recherche de titres populaires, allant de The Thirty-Nine Steps de John Buchan en version turque à des ouvrages arabes consacrés à la poésie, au folklore météorologique ou aux pratiques religieuses.

Les fichiers malveillants se présentent sous la forme d’ebooks au format PDF, mais il s’agit en réalité de programmes exécutables dotés d’icônes PDF. Une fois téléchargés et ouverts, ces faux livres déclenchent le loader LazyGo, qui déploie plusieurs outils de vol de données, notamment StealC, Vidar et ArechClient2. Les chercheurs ont identifié trois variantes distinctes de LazyGo, chacune s’appuyant sur des techniques d’évasion différentes.

Quelles données sont ciblées par les attaquants ?

Les informations dérobées couvrent un large spectre de données sensibles, parmi lesquelles :

Données de navigation : mots de passe enregistrés, cookies, informations de saisie automatique et historique issus de Chrome, Edge, Firefox et d’autres navigateurs ;

: mots de passe enregistrés, cookies, informations de saisie automatique et historique issus de Chrome, Edge, Firefox et d’autres navigateurs ; Actifs financiers : extensions de portefeuilles de cryptomonnaies, fichiers de configuration et données de stockage ;

: extensions de portefeuilles de cryptomonnaies, fichiers de configuration et données de stockage ; Identifiants de développeurs : identifiants AWS, jetons Azure CLI et jetons de la plateforme Microsoft Identity ;

: identifiants AWS, jetons Azure CLI et jetons de la plateforme Microsoft Identity ; Plateformes de communication : jetons Discord, données Telegram Desktop et fichiers de session Steam ;

: jetons Discord, données Telegram Desktop et fichiers de session Steam ; Informations système : caractéristiques matérielles, logiciels installés et processus en cours d’exécution.

Les victimes infectées par ArechClient2 / SectopRAT font face à un risque supplémentaire, les attaquants pouvant obtenir un contrôle à distance complet des machines compromises.

Une campagne active aux impacts étendus

Les données de télémétrie de Kaspersky révèlent des taux d’infection élevés en Turquie, au Bangladesh, en Égypte et en Allemagne. Les victimes appartiennent notamment à des agences gouvernementales, des établissements d’enseignement, des services informatiques et d’autres secteurs sensibles. La campagne reste active, les acteurs malveillants continuant de publier de nouveaux ebooks infectés sur GitHub et sur des sites web compromis.

« Ce qui rend cette campagne particulièrement préoccupante, c’est la combinaison d’un modèle de malware-as-a-service et d’une ingénierie sociale hautement ciblée », explique Yossef Abdelmonem, Senior Security Researcher chez Kaspersky GReAT.

« Les multiples variantes du loader LazyGo et ses techniques d’évasion sophistiquées montrent qu’il ne s’agit pas de cybercriminalité opportuniste, mais d’une opération structurée, conçue pour collecter des identifiants à grande échelle. Les organisations doivent faire preuve d’une vigilance accrue, car les jetons de développeurs et les identifiants cloud dérobés peuvent offrir aux attaquants un accès profond aux infrastructures d’entreprise », explique-t-il encore.

Les faux ebooks couvrent un large éventail de centres d’intérêt, allant de manuels turcs de management, comme İşletme Yöneticiliği de Tamer Koçel, à de la fiction contemporaine, en passant par des ouvrages arabes de critique littéraire, tels que The Literary and Linguistic Movement in the Sultanate of Oman. Cette diversité thématique vise à élargir la surface d’attaque et à toucher des profils d’utilisateurs très variés.

Comment s’en protéger ? Voici les recommandations de Kaspersky !

Face à cette menace, Kaspersky recommande aux utilisateurs de vérifier systématiquement la source des ebooks avant tout téléchargement, d’examiner attentivement les propriétés des fichiers et de maintenir des solutions de sécurité à jour, capables de détecter des techniques d’évasion avancées.

Lors du choix d’une solution de sécurité, il est conseillé d’opter pour un produit doté de capacités anti-malware robustes, validées par des tests indépendants. Selon une évaluation récente menée par AV-Comparatives, Kaspersky Premium a affiché un taux de protection de 99,99 % sur un échantillon de 9 995 fichiers, confirmant un haut niveau de défense contre les logiciels malveillants.

