Darktrace avertit des escroqueries d'ingénierie sociale déployant des malware de vol de crypto-monnaies

Les chercheurs de l'entreprise de cybersécurité Darktrace ont averti que les acteurs malveillants utilisent des tactiques d'ingénierie sociale de plus en plus sophistiquées pour infecter les victimes avec des malware de vol de crypto.

Dans son dernier blog, les chercheurs de Darktrace ont détaillé une campagne élaborée dans laquelle des escrocs se faisaient passer pour des startups d'IA, de jeux et de Web3 afin de tromper les utilisateurs en les incitant à télécharger des logiciels malveillants.

Le schéma repose sur des comptes X vérifiés et compromis, ainsi que sur la documentation de projet hébergée sur des plateformes légitimes, pour créer une illusion de légitimité.

Selon le rapport, la campagne commence généralement par des imposteurs contactant des victimes potentielles sur X, Telegram ou Discord. Se faisant passer pour des représentants de startups émergentes, ils offrent des incitations telles que des paiements en cryptomonnaie en échange de tests de logiciels.

Les victimes sont ensuite dirigées vers des sites Web d'entreprise soignés conçus pour imiter des startups légitimes, avec des livres blancs, des feuilles de route, des entrées GitHub et même de fausses boutiques de marchandises.

Une fois qu'une cible télécharge l'application malveillante, un écran de vérification Cloudflare apparaît, pendant lequel le malware collecte discrètement des informations système telles que les détails du CPU, l'adresse MAC et l'identifiant de l'utilisateur. Ces informations, accompagnées d'un jeton CAPTCHA, sont envoyées au serveur de l'attaquant pour déterminer si le système est une cible viable.

Si la vérification réussit, une charge utile de deuxième niveau, généralement un voleur d'informations, est livrée discrètement, ce qui permet d'extraire des données sensibles, y compris les identifiants de portefeuille de cryptomonnaie.

Les versions Windows et macOS du malware ont été détectées, certaines variantes Windows étant connues pour utiliser des certificats de signature de code volés à des entreprises légitimes.

Selon Darktrace, la campagne ressemble aux tactiques utilisées par les groupes "traffer", qui sont des réseaux de cybercriminels spécialisés dans la génération d'installations de malware par le biais de contenus trompeurs et de manipulation des réseaux sociaux.

Bien que les acteurs de la menace restent non identifiés, les chercheurs pensent que les méthodes utilisées sont cohérentes avec celles observées dans des campagnes attribuées à CrazyEvil, un groupe connu pour cibler les communautés liées aux cryptomonnaies.

«CrazyEvil et leurs sous-équipes créent de fausses sociétés de logiciels, similaires à celles décrites dans ce blog, utilisant Twitter et Medium pour cibler des victimes», a écrit Darktrace, ajoutant que le groupe est estimé avoir généré «des millions de dollars de revenus grâce à leur activité malveillante.»

Une menace récurrente

Des campagnes de malware similaires ont été détectées à plusieurs reprises tout au long de cette année, avec une opération liée à la Corée du Nord qui utilisait de fausses mises à jour de Zoom pour compromettre les appareils macOS dans des entreprises de crypto-monnaie.

Des attaquants auraient déployé une nouvelle souche de malware appelée "NimDoor", livrée par le biais d'une mise à jour SDK malveillante. La charge utile multi-étapes était conçue pour extraire les identifiants de portefeuille, les données de navigateur et les fichiers Telegram cryptés tout en maintenant une persistance sur le système.

Dans un autre cas, le tristement célèbre groupe de hackers nord-coréen Lazarus a été découvert en train de se faire passer pour des recruteurs afin de cibler des professionnels sans méfiance en utilisant une nouvelle souche de malware appelée "OtterCookie", qui a été déployée lors de fausses sessions d'entretien.

Plus tôt cette année, une étude distincte menée par la société d'analyse blockchain Merkle Science a révélé que les escroqueries par ingénierie sociale ciblaient principalement des célébrités et des leaders technologiques via des comptes X piratés.