Comment supprimer EKZ Stealer du système d'exploitation

Quel type de malware est EKZ Stealer ?

EKZ Stealer est un voleur d'informations conçu pour extraire silencieusement les mots de passe enregistrés, les cookies, les données de remplissage automatique et les détails de cartes de paiement des navigateurs web sur les ordinateurs Windows infectés. Selon les recherches d'Arctic Wolf, il a été observé pour la première fois en mai 2026 dans le cadre d'une campagne ciblant les organisations utilisant le logiciel FortiClient EMS de Fortinet.

Pour diffuser le voleur, les attaquants l'ont déguisé en une mise à jour légitime du logiciel Fortinet nommée FortiEndpoint_Patch.exe. Le fichier était envoyé automatiquement aux terminaux gérés via des configurations de profil VPN altérées, ce qui signifie que les victimes n'avaient généralement aucune idée que le malware était en cours d'installation.

Présentation de EKZ Stealer

Le malware cible à la fois les navigateurs basés sur Chromium (tels que Chrome et Edge) et les navigateurs basés sur Firefox, notamment LibreWolf, Waterfox, Pale Moon et Thunderbird. À partir de ces applications, il collecte les identifiants de connexion enregistrés, les cookies de session, les données de remplissage automatique et les numéros de carte de crédit enregistrés.

Une fois la collecte terminée, les données récoltées sont écrites dans un fichier journal sur la machine de la victime, puis envoyées à un serveur contrôlé par les attaquants via une connexion HTTP. Le stealer prend en charge une utilisation répétée sur plusieurs hôtes via une interface en ligne de commande, ce qui suggère qu'il est utilisé dans des opérations ciblées, pilotées par un opérateur.

La campagne documentée par Arctic Wolf exploitait la CVE-2026-35616, une vulnérabilité dans FortiClient EMS qui permettait un accès non authentifié à l'API de gestion du serveur. Les attaquants ont utilisé ce point d'ancrage pour modifier les configurations de profil VPN, en injectant des commandes PowerShell malveillantes qui étaient automatiquement exécutées sur tous les terminaux gérés lorsqu'une connexion VPN était établie.

Comment EKZ Stealer vole les données du navigateur

Les navigateurs basés sur Chromium chiffrent les mots de passe enregistrés à l'aide d'une protection liée au compte utilisateur Windows. EKZ Stealer contourne cette protection en se copiant dans le dossier d'application du navigateur et en se relançant depuis cet emplacement, ce qui amène le navigateur à le traiter comme un processus interne de confiance.

Depuis cette position, il appelle une fonction privilégiée du navigateur pour récupérer la clé de déchiffrement AES-256 utilisée pour protéger les identifiants stockés. Cela permet au stealer de lire tous les mots de passe enregistrés dans le navigateur sans aucun avertissement pour l'utilisateur.

Évasion des défenses

EKZ Stealer prend des mesures pour entraver l'analyse et supprimer les traces de l'infection. Son exécutable possède un horodatage de compilation mis à zéro, ce qui supprime le marqueur de date normalement utilisé par les chercheurs pour déterminer quand un programme a été compilé.

Le malware était également distribué via des scripts PowerShell encodés en Base64, qui peuvent contourner les filtres analysant les commandes malveillantes reconnaissables. Une fois l'exfiltration terminée, le stealer supprime le fichier de charge utile et nettoie les entrées de journal associées, effaçant les preuves de l'infection.

Conclusion

Les victimes de EKZ Stealer peuvent perdre tous les identifiants stockés dans leurs navigateurs, y compris les mots de passe de comptes, les données de cartes de paiement et les cookies de session qui peuvent permettre aux attaquants d'accéder aux comptes sans avoir besoin du mot de passe original. Tous les comptes actifs dans le navigateur au moment de l'infection doivent être considérés comme potentiellement compromis.

La routine de nettoyage du stealer rend difficile la confirmation d'une infection après coup, et les organisations touchées par la vulnérabilité de FortiClient EMS peuvent avoir vu le malware déployé sur de nombreux appareils simultanément. EKZ Stealer doit être supprimé du système immédiatement.

D'autres exemples de stealers sont DebugElevator, Evolution et Needle.

Comment EKZ Stealer s'est-il infiltré dans mon ordinateur ?

Selon Arctic Wolf, la campagne EKZ Stealer a exploité la CVE-2026-35616, une vulnérabilité dans FortiClient EMS de Fortinet qui permettait un accès non authentifié à l'API de gestion du serveur. Les attaquants ont obtenu un contrôle administratif et modifié les paramètres de profil VPN pour injecter des scripts PowerShell malveillants dans la configuration.

Ces scripts étaient exécutés automatiquement sur tous les terminaux gérés chaque fois qu'une connexion VPN était établie. La charge utile était nommée FortiEndpoint_Patch.exe, et pour la plupart des utilisateurs et administrateurs, elle ressemblait à une mise à jour logicielle Fortinet de routine plutôt qu'à un malware.

En dehors de cette campagne spécifique, les stealers atteignent couramment les utilisateurs par le biais d'e-mails d'hameçonnage, de faux sites de téléchargement de logiciels, de logiciels piratés et de cracks logiciels.

Comment éviter l'installation de malwares ?

Maintenez tous les logiciels à jour, y compris les outils de gestion réseau et les clients VPN. Les vulnérabilités comme la CVE-2026-35616 sont corrigées par les éditeurs une fois découvertes, mais les appareils doivent effectivement recevoir et appliquer ces correctifs pour être protégés. Téléchargez les mises à jour logicielles uniquement depuis les sites web officiels des éditeurs.

Soyez prudent avec les e-mails inattendus contenant des pièces jointes ou des liens, même lorsqu'ils semblent provenir d'une source de confiance. Utilisez un logiciel antivirus réputé et effectuez régulièrement des analyses de menaces. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les malwares infiltrés.

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que EKZ Stealer ?
• ÉTAPE 1. Suppression manuelle du malware EKZ Stealer.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement les malwares ?

La suppression manuelle des malwares est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-malware le faire automatiquement. Pour supprimer ce malware, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer les malwares manuellement, la première étape consiste à identifier le nom du malware que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple en utilisant le gestionnaire des tâches, et identifié un programme qui semble suspect, vous devez poursuivre avec ces étapes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec prise en charge réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu Options de démarrage avancées ». Cliquez sur le bouton « Résolution des problèmes », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « Choisir une option », cliquez sur « Résolution des problèmes », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains malwares masquent leurs noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Supprimer ».

Après avoir supprimé le malware via l'application Autoruns (cela garantit que le malware ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du malware sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du malware, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez supprimer tout malware de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des malwares aux programmes antivirus et anti-malware.

Ces étapes peuvent ne pas fonctionner avec les infections de malwares avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les malwares ultérieurement. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des malwares, nous vous recommandons de l'analyser avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le malware EKZ Stealer, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage supprime EKZ Stealer mais efface également toutes les données du disque. L'exécution d'un outil de sécurité réputé comme Combo Cleaner est la première étape recommandée ; le formatage ne devrait être envisagé qu'en dernier recours.

Quels sont les plus gros problèmes que le malware EKZ Stealer peut causer ?

EKZ Stealer peut entraîner le vol de tous les mots de passe enregistrés dans le navigateur, des cookies de session et des données de cartes de paiement. Cela peut conduire à la prise de contrôle de comptes, à l'usurpation d'identité et à la fraude financière, surtout si les identifiants volés incluent des comptes bancaires ou de messagerie.

Quel est le but du malware EKZ Stealer ?

Le but de EKZ Stealer est de récolter les identifiants enregistrés et les données sensibles des navigateurs web, y compris les mots de passe, les cookies, les données de remplissage automatique et les détails des cartes de paiement, et d'envoyer ces informations aux attaquants pour exploitation.

Comment le malware EKZ Stealer s'est-il infiltré dans mon ordinateur ?

EKZ Stealer a été observé se propageant via une campagne exploitant la CVE-2026-35616, une vulnérabilité de FortiClient EMS. Les attaquants ont injecté des scripts PowerShell malveillants dans les configurations VPN, provoquant l'exécution automatique du stealer sur les terminaux gérés sans aucune action de l'utilisateur.

Combo Cleaner me protégera-t-il contre les malwares ?

Oui. Combo Cleaner peut détecter et supprimer la plupart des malwares connus, y compris les voleurs d'informations. Il est recommandé d'exécuter une analyse complète du système pour s'assurer qu'aucune menace n'est manquée et que le système est entièrement propre.