Dans le paysage en constante évolution des menaces numériques, les infostealers¹ se sont imposés comme l’une des menaces les plus prolifiques.
Parmi les nouveaux venus, Onestart.exe et EpiBrowser attirent l’attention des chercheurs en cybersécurité par leur approche sournoise et leur capacité à compromettre la confidentialité des utilisateurs. Cet article propose une analyse technique de ces deux malwares² et des recommandations concrètes pour s’en prémunir.
Bonjour, moi, c’est Valentin, je suis SOC Analyst chez un grand client. Mon rôle au quotidien ? Détecter, analyser et contenir les incidents de sécurité, surveiller les logs, corréler les événements suspects et investiguer les menaces potentielles qui pourraient impacter notre SI.
En ce début d’année 2025, nous avons observé une recrudescence d’activités suspectes via notre proxy. L’une d’elles a particulièrement retenu mon attention : un volume très élevé de connexions sortantes vers un site appelé Onestart.IA. Sur le moment, je me suis dit : « Encore un nouveau clone de ChatGPT qui fait le buzz… ». Mais en y regardant de plus près, ce n’était pas du tout le cas.
Ce que j’ai découvert m’a mené vers une analyse approfondie de Onestart.exe, un exécutable distribué via ce site, ainsi que vers EpiBrowser, un autre malware émergent qui partage des similitudes inquiétantes. Je vous partage ici le fruit de cette investigation.
Onestart.exe : Faux navigateur, vrai voleur
➤ Présentation
Onestart.exe se présente comme un navigateur assisté par intelligence artificielle. Derrière cette façade prometteuse se cache en réalité un adware³ déguisé, souvent classé comme PUP (Potentially Unwanted Program)⁴. Son installation se fait fréquemment via des packages logiciels regroupés, sans le consentement explicite de l’utilisateur.
➤ Comportement observé
Une fois actif, Onestart.exe :
- Modifie les paramètres de navigateur par défaut (moteur de recherche, page d’accueil),
- Affiche des publicités invasives ou injecte du contenu dans les pages visitées,
- Tente de persister dans le système en s’incrustant dans les tâches planifiées ou les clés de registre,
- Et surtout : récupère des données sensibles comme les identifiants de session, cookies, historiques de navigation, voire mots de passe enregistrés.
Des analyses en sandbox (comme sur Any.run) ont montré que ce programme agit à la fois comme dropper⁵ et infostealer, exfiltrant les données vers des serveurs de commande distants.
Le fichier est souvent détecté dans le répertoire C:\Users\username\AppData\Roaming\OneStart\bar\updater.exe.
Comportements Observés :
- Exécution de Scripts PowerShell : OneStart.exe tente d’exécuter des commandes PowerShell pour s’installer silencieusement sur le système de l’utilisateur. Par exemple, il peut utiliser la commande suivante pour retarder son exécution et lancer son processus d’installation :
« C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe » -WindowStyle Hidden -ExecutionPolicy bypass -c « Start-Sleep 2400″; »& ‘C:\Users\username\AppData\Roaming\OneStart\bar\updater.exe’ /silentall -nofreqcheck »
- Persistance et Modification du Système : Le programme crée des tâches planifiées et modifie le registre pour assurer sa persistance sur le système. Il peut également créer et exécuter des fichiers tels que UpdaterSetup.exe et updater.exe
EpiBrowser : Hijacker malin aux ambitions cachées
➤ Présentation
Moins documenté, EpiBrowser est un navigateur frauduleux qui, une fois installé, détourne l’expérience utilisateur en redirigeant les recherches, en affichant des publicités malveillantes, et surtout en collectant des données personnelles.
➤ Fonctionnalités malveillantes
- Injection de modules de tracking,
- Connexion à des domaines tiers douteux (souvent à l’insu de l’utilisateur),
- Modification de fichiers système pour empêcher sa suppression (via appdata ou local system),
- Transmission des informations collectées à un backend⁶ non identifié.
- Sa capacité à bypasser⁷ certaines protections antivirus et à mimer des logiciels légitimes le rend particulièrement dangereux dans les environnements peu surveillés.
Comparaison entre Onestart.exe et EpiBrowser
Pour les entreprises
Dans un contexte dans lequel les infostealers deviennent de plus en plus furtifs, il est indispensable
d’adopter une posture proactive. La mise en place d’une solution EDR⁸ performante permet de détecter des comportements anormaux en temps réel, comme des accès non autorisés ou des modifications suspectes de fichiers système.
La sensibilisation des collaborateurs est également cruciale : comprendre les signaux faibles d’une compromission (comme l’apparition soudaine d’une extension ou un ralentissement du navigateur) peut éviter bien des incidents. Il est aussi recommandé de limiter les privilèges administratifs sur les postes pour freiner la propagation d’un logiciel malveillant.
L’activation systématique de la double authentification (2FA), notamment sur les outils critiques de l’entreprise, renforce la sécurité face au vol d’identifiants.
Enfin, il est important d’éviter d’enregistrer les mots de passe dans les navigateurs web, qui sont fréquemment ciblés par ce type de menace.
Pour aller plus loin sur ce point, consultez l’article d’Allistic sur le sujet : https://www.allistic.fr/gestionnaire-mots-de-passe/
Outils complémentaires : Secure Annex & crxaminer
Les infostealers modernes, comme Onestart.exe ou EpiBrowser, ne se limitent pas aux exécutables : de nombreuses variantes injectent ou exploitent des extensions de navigateur malveillantes. C’est là qu’interviennent deux outils précieux pour les analystes et les professionnels de la sécurité :
Secure Annex
Secure Annex est un référentiel communautaire d’extensions malveillantes connues. Il permet :
- de rechercher des ID d’extensions pour vérifier si elles ont été compromises ou identifiées comme dangereuses,
- d’examiner les comportements suspects d’extensions Chrome souvent installées silencieusement par des infostealers.
Exemple d’usage : après l’infection par un malware, on peut vérifier les extensions installées dans Chrome et croiser leurs ID via Secure Annex pour identifier rapidement les éléments à supprimer.
crxaminer
Crxaminer est un outil open source ou web-based⁹qui analyse en détail les extensions au format .crx :
- Affiche le manifest.json, les permissions utilisées, les scripts injectés,
- Donne une vue claire des permissions abusives comme tabs, webRequest, ou clipboardRead,
- Utile pour les analyses post-infection ou lors d’un audit de poste utilisateur.
Astuce : l’utilisation combinée de crxaminer et d’un outil de forensics¹⁰ réseau permet de retracer l’activité d’une extension compromise, notamment les redirections vers des serveurs de commande (C2).
En lien avec les recommandations d’Allistic
Plusieurs publications complètent ce sujet :
- L’article sur les gestionnaires de mots de passe insiste sur la protection des identifiants — une cible fréquente de ces infostealers.
- Celui sur l’authentification multi-facteurs est une réponse directe aux risques liés à la compromission d’un mot de passe unique.
- Enfin, la sensibilisation proposée par Allistic sont une arme clé pour contrer l’ingénierie sociale souvent utilisée pour propager ces malwares.
- Ces outils comme Secure Annex ou crxaminer s’intègrent parfaitement dans une stratégie proactive de détection des extensions malicieuses, une voie d’entrée de plus en plus exploitée par les malwares actuels.
Conclusion
Onestart.exe et EpiBrowser illustrent une tendance inquiétante : la montée en puissance des infostealers déguisés en applications légitimes ou intégrés dans des extensions de navigateur. Grâce à des outils comme Secure Annex et crxaminer, les professionnels peuvent élargir leur périmètre de détection et renforcer leur capacité de réaction face à ces menaces hybrides.
- ¹Infostealer: logiciel espion qui vole les données personnelles en silence.
- ²Malware : logiciel malveillant ou maliciel.
- ³Adware: Logiciel qui affiche de la publicité lors de son utilisation.
- ⁴PUP (Potentially Unwanted Program): Programme potentiellement indésirable.
- ⁵Dropper: Programme informatique créé pour installer un logiciel malveillant.
- ⁶Backend: Partie d’un site web ou d’une application que l’utilisateur ne voit pas.
- ⁷Bypasser: éviter ou déjouer un système de sécurité ou une restriction.
- ⁸EDR (Endpoint detection and response) : Technologie logicielle émergente de détection des menaces de sécurité informatique sur les équipements numériques.
- ⁹Web-based: quelque chose fonctionne via Internet, dans un navigateur web (comme Chrome, Firefox, etc.), sans avoir besoin d’installer un logiciel sur ton ordinateur.
- ¹⁰Forensic: désigne l’analyse approfondie des systèmes informatiques, des réseaux ou des données.
