La cyberpolice ukrainienne, en collaboration avec les forces de l'ordre américaines, a identifié un jeune homme de 18 ans originaire d'Odessa, soupçonné d'être à la tête d'une opération d'infostealer ciblant les utilisateurs d'une boutique en ligne basée en Californie. Selon les rapports, l'acteur de la menace a utilisé des malwares voleurs d'informations entre 2024 et 2025 pour infecter les appareils des utilisateurs et exfiltrer les sessions de navigateur ainsi que les identifiants de compte. ### Les malwares Infostealers : une menace croissante Les **infostealers** sont une forme prévalente de malware conçue pour collecter des données sensibles, notamment les mots de passe, les cookies de navigateur, les jetons de session, les portefeuilles de cryptomonnaies et les informations de paiement. Ces données volées sont ensuite utilisées pour le vol de compte, la fraude et la revente sur les marchés clandestins. Les attaques attribuées au suspect ont touché environ 28 000 comptes clients, les cybercriminels ayant utilisé 5 800 de ces comptes pour effectuer des achats non autorisés totalisant environ 721 000 $. Les activités malveillantes ont causé 250 000 $ de pertes directes, y compris des rétrofacturations. « Pour mener à bien le stratagème criminel, les attaquants ont utilisé des malwares 'infostealer' qui infectaient secrètement les appareils des utilisateurs, collectaient les identifiants de connexion et les transmettaient à des serveurs contrôlés par les attaquants », a déclaré la police. « Les informations étaient ensuite traitées et vendues via des ressources en ligne spécialisées et des bots **Telegram** ». Les autorités ont également noté l'implication du suspect dans des transactions de cryptomonnaies avec des complices.  ### Jetons de session et contournement de la MFA Les « données de session » mentionnées par la police font référence aux jetons de session. Ces jetons permettent aux attaquants de se connecter aux comptes des victimes sans avoir besoin d'identifiants traditionnels, contournant potentiellement l'authentification multi-facteurs (MFA) dans certains cas. Le suspect de 18 ans aurait géré l'infrastructure en ligne utilisée pour le traitement, la vente et l'utilisation des données de session volées, indiquant un rôle clé dans l'opération. ### Saisie de preuves Lors des perquisitions aux domiciles du suspect, la police a saisi des téléphones portables, du matériel informatique, des cartes bancaires, des supports de stockage électroniques et d'autres preuves numériques le reliant à l'opération illégale. Ces preuves comprennent l'accès à des ressources utilisées pour vendre des données volées et gérer des comptes compromis, ainsi que des journaux d'activité des serveurs et des comptes sur des plateformes d'échange de cryptomonnaies.  À ce stade, les autorités ont identifié le suspect, procédé à des perquisitions et saisi des appareils et d'autres preuves le reliant présumément à l'opération. Au moment de l'annonce, aucune arrestation n'a été effectuée, ce qui suggère que l'enquête est en cours.