NordVPN dénonce les escroqueries de précommande de GTA 6, alors que la menace de logiciels malveillants augmente avant la date de sortie

L'équipe Threat Intelligence de NordVPN révèle une vague de logiciels malveillants exploitant l'engouement pour les précommandes de GTA VI

De fausses clés bêta, des repacks trojanisés et des sites de phishing récoltant des informations d'identification inondent l'Internet avant la sortie du jeu en novembre

L'unité de recherche Threat Intelligence de NordVPN a identifié des malwares et des campagnes d'escroquerie exploitant l'anticipation autour de la sortie de GTA VI. Lorsque des rumeurs ont circulé sur l'ouverture prochaine des précommandes, les acteurs de la menace ont cherché à capitaliser sur le battage médiatique. Ils ont déployé de faux installateurs, des logiciels publicitaires sur Android et des pages de phishing ciblant les utilisateurs de PC et de téléphones portables, plateformes pour lesquelles GTA VI ne sera pas disponible dans un premier temps.

Les campagnes couvrent plusieurs types d'attaques, des trojans DLL sideloading cachés dans de faux repacks de jeux à un logiciel publicitaire sophistiqué Android se faisant passer pour une "GTA 6 Beta", en passant par des centaines de sites d'hameçonnage amateurs ciblant les informations d'identification du Rockstar Social Club.

"GTA VI est l'un des jeux les plus attendus de l'histoire des jeux vidéo, et ce niveau d'excitation du public est exactement ce que recherchent les criminels", déclare Marijus Briedis, directeur technique chez NordVPN. "Lorsque les gens sont prêts à tout pour obtenir un accès anticipé à quelque chose, ils baissent leur garde. C'est la fenêtre que les attaquants exploitent"

Fausses clés bêta et pièges d'abonnement

NordVPN a identifié de nombreux sites frauduleux promettant des clés bêta exclusives pour les consoles PS5 et Xbox Series. La mécanique est simple mais efficace : les utilisateurs remplissent un court formulaire, sont ensuite dirigés vers une étape de vérification par un robot et sont invités à s'abonner à des services payants ou à télécharger des applications potentiellement indésirables (PUA). En promettant aux utilisateurs de PC et de mobiles un accès à la version bêta de la console, les escrocs exploitent à la fois la curiosité et le sentiment d'omnipotence.

Repacks troyens ciblant les utilisateurs de Windows

Les acteurs de la menace ont déployé des clones de sites de piratage et de repack bien connus, notamment de fausses versions de FitGirl, DODI et ElAmigos, pour distribuer des logiciels malveillants déguisés en fichiers de jeux pour Windows.

Un échantillon analysé, détecté le 17 mai 2026, montre à quel point ces contrefaçons peuvent être convaincantes. Le paquet malveillant se présente comme un programme d'installation de jeu légitime. Lorsque l'utilisateur l'exécute, un fichier malveillant caché s'active discrètement en arrière-plan, déguisé en composant de pilote graphique NVIDIA standard pour ne pas éveiller les soupçons.

À partir de là, il peut modifier la mémoire de l'appareil, télécharger d'autres logiciels malveillants et se connecter à des serveurs externes pour recevoir d'autres instructions. Le téléchargement a été retracé jusqu'à un domaine qui avait été enregistré 23 jours seulement avant la détection de l'attaque, un signe courant d'une infrastructure construite spécifiquement pour des campagnes malveillantes de courte durée.

Android un logiciel publicitaire se fait passer pour une "GTA 6 Beta"

Une fausse application Android circulant sous le nom de "GTA 6 Beta" est un autre front de la même campagne. L'application est une coquille vide qui affiche une marque Rockstar Games d'apparence authentique et une vidéo d'introduction avant d'inviter les utilisateurs à télécharger des données supplémentaires. Il n'y a pas de jeu à l'intérieur.

Lorsqu'elle fonctionne, l'application diffuse silencieusement des publicités en plein écran et redirige les utilisateurs vers des pages externes qui les incitent à s'abonner à des services payants ou à télécharger d'autres logiciels malveillants, dissimulés derrière de fausses étapes de vérification humaine.

Pour éviter d'être détectée, l'application utilise plusieurs techniques d'évasion et cache son trafic web pour dissimuler l'endroit où elle envoie réellement les utilisateurs. La piste mène finalement à un domaine dont l'historique de distribution d'infostealers, de chevaux de Troie bancaires, de logiciels publicitaires et de rançongiciels sur Android et Windows est documenté.

Phishing amateur ciblant les comptes du Rockstar Social Club

Au-delà des campagnes les plus élaborées, NordVPN a repéré des centaines de pages de phishing amateur ciblant les identifiants du Rockstar Social Club par le biais de faux formulaires de connexion. Ces sites sont souvent hébergés sur des plateformes légitimes telles que GitHub et Vercel, utilisant la réputation d'une infrastructure de confiance pour contourner les filtres de sécurité de base sans frais pour l'attaquant.

Les comptes compromis peuvent être revendus sur des places de marché du dark web ou utilisés pour des fraudes dans le jeu. Nombre de ces pages servent également de points de distribution de logiciels malveillants, utilisant de faux boutons de téléchargement et des promesses de contenu exclusif de GTA VI pour diffuser des logiciels publicitaires, des voleurs d'informations et des chevaux de Troie.

Comment rester en sécurité

Marijus Briedis conseille aux joueurs et aux fans de GTA VI :

Évitez les sites de téléchargement tiers pour tout contenu de jeu. Les fichiers de jeu légitimes sont distribués exclusivement par l'intermédiaire des vitrines officielles telles que le PlayStation Store, le Xbox Marketplace ou la plateforme de Rockstar. Tout site non officiel doit être considéré comme un signal d'alarme. Traitez les offres de clés bêta avec scepticisme. Les bêtas légitimes des grands titres sont annoncées uniquement par les canaux officiels. Tout site vous demandant de vérifier votre identité ou de souscrire à un service pour obtenir un accès est une arnaque, même s'il semble convaincant. Vérifiez soigneusement les URL avant de vous connecter. Vérifiez toujours l'URL avant d'entrer vos données de connexion où que ce soit. Les plateformes de jeux et les vitrines officielles ne vous demanderont jamais de vous connecter par l'intermédiaire d'un site tiers.

Méthodologie

L'enquête s'est appuyée sur des méthodes de renseignement de source ouverte (OSINT), et les résultats ont été corroborés et validés par recoupement des données collectées.

Les principales stratégies de collecte de données comprenaient des chaînes de recherche appliquées aux principaux moteurs de recherche ainsi que des plateformes spécialisées dans l'indexation de domaines et de dispositifs exposés à l'internet, y compris des moteurs de recherche IoT et des services de type Shodan tels que Fofa.io et Shodan.io. Des analyses statiques et dynamiques d'échantillons de logiciels malveillants ont été menées pour cartographier les mécanismes d'attaque, l'infrastructure et les indicateurs de compromission.

L'objectif principal de cette approche par couches était double :

Obtenir une vue d'ensemble aussi exhaustive que possible des entités numériques impliquées dans ces campagnes. Identifier précisément les domaines compromis ou activement malveillants, au-delà des infrastructures théoriquement vulnérables.

Les conclusions sont basées sur des données vérifiées, le périmètre des systèmes compromis étant délimité avec la plus grande précision possible.