Kaspersky a identifié une campagne de fraude en ligne visant à voler des crypto-monnaies et des informations sensibles en exploitant des sujets populaires tels que le web3, les cryptos, l'IA, ou encore les jeux en ligne. Faisant des victimes dans le monde entier, la campagne serait orchestrée par des cybercriminels russophones, diffusant des infostealers et des clippers.
L'équipe GERT (Global Emergency Response Team) de Kaspersky a récemment découvert une campagne de fraude ciblant des utilisateurs de Windows et macOS partout dans le monde, visant à voler des crypto-monnaies et des informations personnelles. Les attaquants exploitent des sujets populaires pour attirer les victimes avec des sites web de phishing, imitant de près les interfaces de services légitimes. Parmi les sites récemment exploités, on retrouve une plateforme de crypto-monnaie, un jeu de rôle en ligne et un service de traduction basé sur l’IA Bien qu'il y ait des différences mineures entre les versions légitimes et leurs imitations malveillantes, tels que le nom et l'URL, les pages de phishing sont soignées et sophistiquées, augmentant la probabilité de réussite des attaques.
Les
victimes sont incitées à interagir avec ces faux sites, conçus pour inciter les
individus à divulguer des informations sensibles les concernant, comme leurs
clés de portefeuilles de crypto-monnaies, ou à télécharger des logiciels
malveillants. Les attaquants peuvent alors se connecter aux portefeuilles
crypto des victimes par l'intermédiaire du faux site et récupérer leurs fonds,
ou encore voler diverses informations d'identification par le biais
d’infostealers.
« La corrélation entre les différentes composantes de cette campagne et leur infrastructure commune suggère une opération bien ficelée, qui pourrait être liée à un seul acteur ou groupe avec des motivations financières spécifiques », commente Ayman Shaaban, chef de l'unité de réponse aux incidents du GERT de Kaspersky. « En plus des trois sous-campagnes ciblant les crypto-monnaies, l'IA et les jeux, notre portail de threat intelligence a permis d'identifier des infrastructures similaires pour 16 autres sujets qu’il s’agisse de sous-campagnes plus anciennes et abandonnées, ou de nouvelles sous-campagnes en attente d’être lancées. Cela démontre la capacité des acteurs de la menace à s'adapter rapidement aux sujets en vogue et à déployer de nouvelles opérations malveillantes en réaction, et nous rappelle une nouvelle fois l’importance de mettre en œuvre des solutions de cybersécurité éprouvée , et de renforcer la culture cyber des utilisateurs. »
Kaspersky a également repéré des chaînes de caractères en russe dans le code malveillant envoyé aux serveurs des attaquants. Le mot « Mammouth » (rus. « Мамонт »), argot utilisé par les acteurs de la menace russophones pour désigner une « victime », apparaissait à la fois dans les communications du serveur et dans les fichiers de téléchargement des logiciels malveillants. Kaspersky a baptisé la campagne « Tusk » (défenses en anglais) pour souligner l’objectif principal de la campagne, c’est à dire les gains financiers, en faisant une analogie avec les mammouths chassés pour leurs précieuses défenses.
La campagne diffuse des infostealers tels que Danabot et Stealc, ainsi que des clippers, incluant une version open-source écrite en Go. Les logiciels malveillants utilisés varient en fonction des sujets exploités dans les sous-campagnes. Les infostealers sont conçus pour voler des informations sensibles telles que des identifiants, tandis que les clippers récupèrent les données du presse-papiers. Si l'adresse d'un portefeuille de crypto-monnaies est copiée dans le presse-papiers, le clipper la remplace par une adresse malveillante.
Les fichiers de chargement des logiciels malveillants sont hébergés sur Dropbox. Une fois que les victimes les ont téléchargés, elles tombent sur des interfaces qui servent de couverture aux logiciels malveillants, les invitant à se connecter, à s'enregistrer ou simplement à rester sur une page statique. Pendant ce temps, les autres fichiers malveillants et charges utiles sont automatiquement téléchargés et installés sur leur système.
La description technique détaillée de la campagne est disponible sur Securelist. Pour une immersion approfondie dans le paysage des cybermenaces, et des opportunités de réseautage, rejoignez le Security Analyst Summit (SAS) de Kaspersky, dont la 16e édition se tiendra du 22 au 25 octobre 2024, à Bali.
