🗓️ Contexte

Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2).

🔗 Technique d’hébergement via la blockchain

Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur :

  • TRON
  • Aptos
  • Binance Smart Chain (BSC)

Ces données sont insérées dans les champs arbitraires des transactions (notes, métadonnées, données d’entrée de contrats intelligents). La nature immuable et à écriture seule des blockchains rend ces éléments impossibles à supprimer, transformant ces registres publics en infrastructure C2 résistante à la censure.

🎯 Vecteur d’infection

L’attaque cible principalement des développeurs et prestataires freelance via de fausses offres d’emploi sur LinkedIn et Upwork. La victime est invitée à récupérer un dépôt GitHub et à exécuter du code apparemment légitime. En arrière-plan, ce code se connecte à la blockchain, lit les données de transaction et les utilise comme pointeur pour récupérer et déchiffrer la charge utile finale.

📦 Capacités de vol

Omnistealer est conçu comme un aspirateur de données universel ciblant :

  • Plus de 10 gestionnaires de mots de passe (dont LastPass)
  • Navigateurs majeurs (Chrome, Firefox) : identifiants et données de session
  • Comptes de stockage cloud (dont Google Drive)
  • Plus de 60 portefeuilles crypto accessibles via navigateur (dont MetaMask, Coinbase Wallet)

📊 Impact estimé

Les chercheurs estiment qu’environ 300 000 identifiants ont déjà été compromis, touchant des victimes dans des secteurs variés : plateformes pour adultes, services de livraison, sociétés de conformité financière, fournisseurs du secteur de la défense et entités gouvernementales américaines.

📰 Type d’article

Il s’agit d’une analyse de menace publiée par un éditeur de solutions de sécurité, visant à informer sur les capacités techniques d’un nouveau malware et à sensibiliser les utilisateurs et entreprises à ce vecteur d’attaque émergent.

🧠 TTPs et IOCs détectés

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1102 — Web Service (Command and Control)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

Malware / Outils

  • Omnistealer (stealer)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ malwarebytes.com — source non référencée (0pts)
  • ✅ 4922 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.malwarebytes.com/fr/blog/news/2026/04/omnistealer-uses-the-blockchain-to-steal-everything-it-can