Le nom « Epsilon Scan » circule sur des forums de jeux, des groupes Facebook et des fils Discord comme un supposé outil d’analyse de fichiers ou de sites web. Derrière cette appellation se cache un vecteur de distribution directement lié à Epsilon Stealer, un malware documenté depuis fin 2023 et conçu pour exfiltrer bien plus que des mots de passe de navigateur.
Epsilon Stealer : surface d’attaque réelle sur les postes de travail
Epsilon Stealer ne se contente pas de siphonner les credentials stockés dans Chrome ou Firefox. Son périmètre d’exfiltration couvre les cookies de session, les numéros de carte bancaire enregistrés, l’historique de navigation et les données de formulaires auto-complétés.
A lire aussi : Comment fonctionne un canal sur Telegram et à quoi sert-il
Ce qui le distingue de la majorité des stealers grand public, c’est son ciblage des launchers de jeux (Steam, Epic Games) et des applications de messagerie comme Discord. Les tokens de session Discord, une fois récupérés, permettent de prendre le contrôle d’un compte sans même connaître le mot de passe.
Les portefeuilles de crypto-monnaies installés localement font aussi partie des cibles. Epsilon scanne les répertoires classiques de wallets pour en extraire les fichiers de clés privées. Un poste compromis, même brièvement, peut entraîner un vidage irréversible de fonds.
A lire également : Connected Easyjet : connexion au site
Vecteur de diffusion « Epsilon Scan » : pourquoi les communautés de jeux sont visées
Les campagnes observées exploitent un schéma récurrent. Un utilisateur poste dans un groupe (webtoon, modding, serveurs de jeu) un lien vers une archive .zip présentée comme un « scan » ou un « outil d’analyse ». Le fichier porte un nom rassurant, souvent proche d’un utilitaire légitime.
L’archive contient un exécutable obfusqué qui installe Epsilon en arrière-plan. Aucun écran d’installation visible, aucune demande de droits administrateur sur certaines variantes : l’infection passe sous le radar des utilisateurs peu méfiants.
Nous observons que ces campagnes ciblent prioritairement des communautés où le partage de fichiers est culturellement normalisé. Les serveurs Discord de mods, les groupes Facebook de fans, les forums de triche : autant d’environnements où télécharger un .zip partagé par un « membre » paraît anodin.
Signaux d’alerte avant téléchargement
- L’archive est hébergée sur un service de partage éphémère (Mega, MediaFire, liens Google Drive publics) plutôt que sur un dépôt officiel ou un site éditeur identifiable
- Le fichier .zip contient un .exe unique, sans documentation, sans signature numérique vérifiable, et pèse moins de quelques mégaoctets
- Le compte qui partage le lien est récent, a peu d’historique d’activité, ou copie-colle le même message dans plusieurs groupes
- Le nom du fichier imite un outil connu en ajoutant « Scan », « Checker » ou « Tool » pour paraître légitime
Outils de vérification de liens : scanner avant de cliquer
L’approche « scan avant clic » se généralise dans les suites de sécurité grand public. Des acteurs comme NordVPN proposent des modules de vérification de liens (Link Checker, Threat Protection) qui analysent l’URL avant chargement de la page. Le principe : intercepter les redirections suspectes, le phishing et les téléchargements piégés au niveau du réseau.
Cette couche de protection reste peu documentée dans les contenus pédagogiques classiques, qui se focalisent sur le phishing par email. Les liens partagés dans des messageries instantanées ou des réseaux sociaux échappent souvent aux filtres de messagerie professionnels.
Limites des link checkers face aux archives malveillantes
Un link checker analyse l’URL et la réputation du domaine. Il ne décompresse pas une archive .zip pour en inspecter le contenu exécutable. Un lien « propre » selon le scanner peut mener à un fichier infecté si l’hébergeur n’a pas encore classé l’archive comme malveillante.
Nous recommandons de coupler le link checker avec un antivirus disposant d’une analyse comportementale. L’exécution d’un binaire inconnu dans un environnement sandboxé (Windows Sandbox, machine virtuelle dédiée) reste la méthode la plus fiable pour évaluer un fichier suspect avant de le lancer sur un poste de production.
Réaction post-compromission : que faire si Epsilon Stealer a été exécuté
Si un exécutable issu d’une archive suspecte a été lancé, le poste doit être considéré comme compromis. La priorité n’est pas la suppression du malware, c’est la rotation immédiate de tous les credentials stockés dans les navigateurs.
Concrètement, cela signifie :
- Changer les mots de passe de chaque compte dont les identifiants étaient enregistrés dans le navigateur, en commençant par les comptes bancaires et les messageries principales
- Révoquer les sessions actives sur Discord, Steam et les plateformes de jeu pour invalider les tokens volés
- Transférer les fonds des portefeuilles crypto locaux vers une nouvelle adresse générée depuis un appareil non compromis
- Vérifier les règles de transfert et les redirections dans les boîtes mail, car certains stealers installent des règles de filtrage pour intercepter les emails de réinitialisation
La suppression du binaire et un scan antivirus complet viennent après. Tant que les credentials n’ont pas été changés, le nettoyage du poste ne protège de rien : les données exfiltrées sont déjà sur un serveur distant.
Le nom « Epsilon Scan » continuera probablement de muter. Les campagnes de diffusion de stealers recyclent les appellations, changent d’hébergeur, adaptent le prétexte au public visé. La seule constante fiable reste le réflexe de ne jamais exécuter un fichier dont la provenance ne peut pas être vérifiée par une source officielle, une signature numérique ou un hash publié par l’éditeur.
