#Gremlin Stealer : Le nouveau voleur d’informations en vogue
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels
#Projet de Loi sur la Résilience des Activités Vitales et Cybersécurité
#Binalyze AiR - Le Superhéros de la Forensique Numérique

Date : 12/05/2025

Gremlin Stealer : Le nouveau voleur d’informations en vogue

Un malware écrit en C# qui fait preuve d’une imagination débordante… ou juste d’un bon copier-coller ?

Résumé exécutif (ou comment Gremlin Stealer a décidé de voler la vedette... et vos données)

Les chercheurs de l’équipe Unit 42 ont identifié un malware voleur d’informations nommé Gremlin Stealer. Écrit en C#, ce petit bijou semble être une variante à peine déguisée de Sharp Stealer, avec un code qui évoque fortement celui de Hannibal Stealer (l'originalité est manifestement sur pause).

Commercialisé à grands renforts de posts Telegram depuis mars 2025, ce malware collecte des données depuis les navigateurs, le presse-papiers, le disque local… tout ce qui bouge ou presque.

Où se vend cette merveille ? (spoiler : sur Telegram, évidemment)

Gremlin Stealer est principalement distribué via un canal Telegram nommé CoderSharp. Oui, parce qu’en 2025, c’est tout à fait normal de faire son shopping de malwares sur une messagerie instantanée.

Le vendeur y vante fièrement les capacités du malware : contournement de protections Chrome, vol de données crypto, identifiants VPN, etc. – une vraie boîte à outils du parfait cyber-voleur.

On peut aussi le trouver sur quelques forums "spécialisés" ...

Des données volées ? Oui, plein. Et elles sont exposées en ligne, évidemment

Le groupe à l’origine de Gremlin Stealer prétend avoir publié des gigas de données issues de machines infectées sur un serveur hébergé à 207.244.199[.]46 (adresse tronquée, on n'est pas des sauvages non plus).

On retrouve tout cela via un joli tableau de bord avec des fichiers ZIP à télécharger ou supprimer. Pratique, non ?

Analyse technique : du code C# avec un zeste de flair criminel

Depuis sa découverte en mars 2025, nous avons analysé le code du malware. Spoiler : il est aussi ambitieux que méthodique. Voici ce qu’il fait :

  • Contourne la protection Chrome Cookie V20 (parce que bien sûr...)
  • Ne télécharge rien pendant la compilation – moins de chances de se faire repérer.
  • Vole données des navigateurs, portefeuilles crypto, identifiants FTP/VPN, sessions Telegram et Discord, captures écran, infos système, etc.

    • Liste des navigateurs

    Liste des Cryptos

    Liste de différents sites préfiltrés, la plupart étant des sites spécialisé crypto mais pas que

    Extraction des cartes de crédit

  • Une qualité de code irréprochable : des variables en dur et non chiffrées, une recherche dynamique des chemins système… Et bien sûr, la recherche de 'Program Files', qui respire le professionnalisme absolu.

Il fait même une copie de vos fichiers préférés dans un répertoire temporaire avant de tout empaqueter dans une archive ZIP pour envoi sur son serveur.

Fonctionnalités en vrac, ou comment ratisser large :

  • Support des navigateurs Chromium & Gecko pour récupérer cookies et mots de passe
  • Vol de portefeuilles crypto (Bitcoin, Litecoin, Ethereum et compagnie)
  • Extraction des identifiants FTP (Total Commander, pour les nostalgiques)
  • Récupération des fichiers de config VPN (OpenVPN, NordVPN… vous voyez le tableau)
  • Session Telegram & Discord : pourquoi se limiter ?
  • Informations système détaillées (CPU, RAM, adresse IP – tout sauf votre horoscope)
  • Vol des données bancaires : numéro, date d’expiration, code – un classique indémodable

Et ensuite ? On envoie tout sur le serveur, et on recommence !

Le malware compile toutes ses trouvailles dans un beau fichier ZIP, puis l’envoie via une requête HTTP POST (encore un effort, on est presque au phishing premium).

La transmission peut se faire via un bot Telegram programmé avec une clé API bien codée en dur – pratique, non ?

Encore de la variable en dur non protégée

Conclusion (ou pourquoi il faut garder son antivirus à jour)

Gremlin Stealer est un nouveau venu sur la scène du malware, actif depuis mars 2025. Il cible méthodiquement les applications populaires de l’écosystème Windows.

Face à ce genre de menaces, la plupart les solutions EDR s’appuient sur une détection comportementale, des modèles machine learning et des signatures réactives pour identifier et bloquer ces attaques.

Une menace de plus dans la jungle numérique de 2025. Mais bon, au moins, on sait où elle se cache.

Source : https://unit42.paloaltonetworks.com

@NOP_FIX 2024