Alors que le Bitcoin et d’autres crypto-monnaies ont de nouveau atteint des niveaux records, un groupe de cybercriminels travaille depuis 12 mois sur une campagne de marketing qui utilise des logiciels malveillants personnalisés pour voler le contenu des portefeuilles cryptographiques des utilisateurs.
L’opération a été découverte par Intezer Labs et elle est active depuis janvier de l’année dernière.
Le logiciel malveillant personnalisé pour les appareils Windows, macOS et Linux est distribué via trois applications distinctes et les cybercriminels responsables ont également utilisé un réseau de fausses entreprises, de sites Web et de profils de réseaux sociaux pour tromper les utilisateurs sans méfiance.
Les applications utilisées dans l’opération incluent «Jamm», «eTrade» et «DaoPoker». Alors que les deux premières applications prétendaient être des plates-formes de trading de crypto-monnaie, la troisième était une application de poker qui permettait aux utilisateurs de faire des paris en utilisant la crypto-monnaie.
Sommaire
ElectroRAT
Une fois qu’un utilisateur installe l’une des applications en question sur ses appareils, un cheval de Troie d’accès à distance (RAT) qu’Intezer a surnommé ElectroRAT sert de porte dérobée qui permet aux cybercriminels d’enregistrer les frappes des utilisateurs, de prendre des captures d’écran, de télécharger, de télécharger et d’installer des fichiers sur leur systèmes ainsi que d’exécuter des commandes. Au crédit des cybercriminels, les trois applications n’ont pas été détectées par les logiciels antivirus.
Le chercheur en sécurité Avigayil Mechtinger chez Intezer a fourni des informations supplémentaires sur l’opération et le malware personnalisé utilisé par les cybercriminels derrière dans un nouveau rapport, en disant:
«Il est très rare de voir un RAT écrit à partir de zéro et utilisé pour voler des informations personnelles aux utilisateurs de crypto-monnaie. Il est encore plus rare de voir une campagne aussi large et ciblée qui comprend divers composants tels que de fausses applications / sites Web et des efforts de marketing / promotionnel via des forums et des médias sociaux pertinents. «
Afin de localiser son serveur de commande et de contrôle, ElectroRAT utilise des pages Pastebin publiées par un utilisateur qui passe par le handle «Execmac». Sur la base du profil d’Execmac, ces pages ont reçu plus de 6 700 vues depuis le début de l’opération en janvier de l’année dernière et Intezer estime que ces pages vues correspondent au nombre de personnes infectées par ElectroRAT.
Si l’une des trois fausses applications est installée sur vos systèmes, il est fortement recommandé de les supprimer immédiatement et vous pouvez utiliser l’outil d’analyse d’Intezer pour rechercher toute trace d’ElectroRAT en mémoire sous Windows ou Linux.
Via Ars Technica
