ClickFix, SnakeStealer, Kaleidoscope et GhostTap : les signaux faibles d’un changement de paradigme dans les cybermenaces
Le rapport semestriel publié par ESET, couvrant la période décembre 2024 à mai 2025, décrit un écosystème de cybersécurité de plus en plus complexe. L’émergence de techniques multiplateformes, la montée en puissance de malwares polymorphes et la fragmentation des modèles criminels redéfinissent les priorités des équipes SOC et des RSSI.
ClickFix : attaque multiplateforme et automatisation de l’ingénierie sociale
Avec une croissance de +500 %, ClickFix s’impose comme le deuxième vecteur d’attaque, représentant 8 % des attaques bloquées. Cette technique repose sur des fausses boîtes de dialogue système incitant les utilisateurs à exécuter des commandes copiées-collées, ouvrant la voie à des charges utiles allant de simples downloaders à des implants persistants de type APT.
ClickFix est opérationnel sur Windows, macOS et Linux, et il est désormais intégré à plusieurs toolkits utilisés par des groupes APT sponsorisés par des États.
SnakeStealer vs Agent Tesla : une nouvelle génération d’infostealers
L’écosystème des malwares de vol d’informations (infostealers) connaît une transition. SnakeStealer, alias Snake Keylogger, supplante Agent Tesla. Il combine keylogging, exfiltration de credentials, capture d’écran et vol de presse-papiers. Il est fréquemment distribué via des campagnes de phishing industrialisées, intégrant chiffrement et anti-VM.
Neutralisation de Danabot et Lumma Stealer : quand les défenseurs reprennent l’avantage
ESET a contribué à la perturbation des infrastructures de Lumma Stealer et Danabot, deux plateformes malware-as-a-service (MaaS) particulièrement actives. Avant leur neutralisation, leur croissance était notable : +21 % pour Lumma et +52 % pour Danabot, avec une forte activité ciblée sur l’Europe, notamment la France.
Rançongiciels : tensions internes et baisse de rentabilité
Le ransomware-as-a-service (RaaS), bien qu’en croissance en termes d’incidents, voit ses revenus diminuer. En cause, des exit scams, des conflits entre opérateurs affiliés et des pertes de crédibilité : les victimes paient moins, même si les attaques augmentent. Le groupe RansomHub illustre cette instabilité, avec plusieurs litiges internes ayant fuité sur les forums clandestins.
Android : explosion des adwares et redirection NFC
Le volume d’adwares Android a grimpé de +160 %, notamment via Kaleidoscope, un malware distribué via des clones d’applications officielles (evil twin attack). Ces malwares injectent des publicités tout en collectant de manière furtive les métadonnées utilisateur, contournant les API de contrôle d’accès d’Android.
NFC en danger : GhostTap et SuperCard X industrialisent les fraudes
La technologie NFC, de plus en plus intégrée aux usages (paiement, transport, accès), devient une cible. Le malware GhostTap détourne les données bancaires sans contact pour les injecter dans des wallets clonés. Il est couplé à des relays d’ondes et des networks mobiles zombies, permettant d’effectuer des paiements à distance.
SuperCard X, quant à lui, représente la prochaine génération de MaaS mobile, en se faisant passer pour des apps NFC légitimes, capables de capturer et rediriger en temps réel les paquets NFC vers un serveur distant contrôlé par les attaquants.
Perspectives : l’ère post-malware standard
« Entre sophistication des vecteurs d’attaque, professionnalisation des services criminels et instabilité des groupes de ransomware, l’écosystème cyber vit une transformation profonde », résume Jiří Kropáč, directeur chez ESET. Pour les experts en cybersécurité, cette mutation implique une approche Zéro Trust by design, l’intégration de l’IA dans les systèmes de détection, et une veille proactive sur les nouvelles chaînes d’exploitation.
