Les cryptomonnaies subissent les attaques d’actes criminels en tout genre : de l’habituelle arnaque de minage de Bitcoins à de grandioses vols de cryptomonnaie estimés à plusieurs millions de dollars.
Les personnes qui ont de la cryptomonnaie font constamment face à de nouveaux dangers. D’ailleurs, nous avons récemment parlé de faux portefeuilles de cryptomonnaie qui ressemblaient et fonctionnaient comme d’authentiques portefeuilles sauf qu’ils pouvaient voler tout l’argent. Désormais, nos experts ont découvert une toute nouvelle menace : une attaque sophistiquée exploite le chargeur DoubleFinger et ses amis qui ne sont autres que le voleur de cryptomonnaie GreetingGhoul et le cheval de Troie d’accès à distance Remcos. Reprenons depuis le début…
Comment DoubleFinger installe GreetingGhoul
Nos experts ont relevé le haut niveau technique de l’attaque et sa nature à plusieurs étapes, ce qui fait penser à l’attaque d’une menace persistante avancée (APT). L’infection DoubleFinger commence avec un e-mail qui contient un fichier PIF malveillant. Une fois que le destinataire a ouvert la pièce jointe, une chaîne d’événements commence et se déroule de cette façon :
Étape 1. DoubleFinger exécute un shellcode qui télécharge un fichier au format PNG depuis la plateforme de partage d’images Imgur.com. Pourtant, il ne s’agit pas du tout d’une image : le fichier contient plusieurs composants chiffrés de DoubleFinger qui sont utilisés lors des prochaines attaques de l’attaque. On y trouve notamment le chargeur qui sera utilisé lors de la deuxième étape de l’attaque, un fichier java.exe légitime, et un autre fichier PNG qui sera déployé un peu plus tard, à la quatrième étape.
Étape 2. Le chargeur de la deuxième étape de DoubleFinger s’exécute en utilisant le fichier java.exe légitime mentionné ci-dessus, puis exécute un autre shellcode qui télécharge, déchiffre et lance la troisième étape de DoubleFinger.
Étape 3. À cette étape, DoubleFinger réalise plusieurs actions pour déjouer le programme de sécurité installé sur l’ordinateur. Ensuite, le chargeur déchiffre et lance la quatrième étape, qui se trouve dans le fichier PNG mentionné lors de la première étape. D’ailleurs, ce fichier PNG contient le code malveillant et l’image qui a donné son nom au programme malveillant :
Étape 4. Lors de cette étape, DoubleFinger prépare le lancement de la cinquième étape en utilisant une technique nommée Process Doppelgänging, qui remplace le processus légitime par un autre modifié qui contient la charge virale de la cinquième étape.
Étape 5. Après avoir effectué toutes les manipulations précédentes, DoubleFinger se met au travail et fait ce pour quoi il a été conçu : charger et déchiffrer un autre fichier PNG qui contient la charge virale finale. Il s’agit du voleur de cryptomonnaie GreetingGhoul qui s’installe dans le système et est programmé dans le Planificateur de tâches afin de s’exécuter tous les jours à une heure précise.
Comment GreetingGhoul vole les portefeuilles de cryptomonnaie
Une fois que le chargeur a effectué son travail, GreetingGhoul entre directement en jeu. Ce programme malveillant contient deux composants complémentaires :
- Un qui détecte les applications de portefeuilles de cryptomonnaie dans le système et vole les données qui intéressent les cybercriminels (clés privées et phrases secrètes) ;
- Un autre qui recouvre l’interface des applications de cryptomonnaie et intercepte les données saisies par l’utilisateur.
Par conséquent, les cybercriminels à l’origine de DoubleFinger peuvent prendre le contrôle des portefeuilles de cryptomonnaie de la victime et retirer les fonds.
Nos experts ont trouvé plusieurs modifications de DoubleFinger dont certaines qui, cerise sur le gâteau, installent le cheval de Troie d’accès à distance relativement connu (auprès des cybercriminels) Remcos dans le système infecté. L’objectif à atteindre apparaît clairement dans son nom : REMote COntrol & Surveillance (Accès à distance et surveillance). En d’autres termes, Remcos permet aux cybercriminels d’observer toutes les actions de l’utilisateur et de contrôler pleinement le système infecté.
Comment protéger vos portefeuilles de cryptomonnaie
Les cryptomonnaies ne cessent d’attirer les cybercriminels, et les investisseurs en cryptomonnaie doivent bien réfléchir à la sécurité. D’ailleurs, nous vous conseillons de lire l’article que nous avons récemment publié : « Comment protéger votre cryptomonnaie : 4 conseils de sécurité« . D’autre part, voici un résumé des points essentiels :
- Attendez-vous à recevoir des arnaques. Le monde de la cryptomonnaie regorge d’escrocs en toute genre. Scrutez constamment l’horizon pour détecter les pièges et vérifiez plusieurs fois et minutieusement tout ce que vous faites.
- Ne mettez pas tous vos œufs dans le même panier. Associez les portefeuilles chauds (pour les transactions actuelles) et les portefeuilles froids (pour les investissements à long-terme).
- Informez-vous pour savoir comment les cybercriminels peuvent attaquer les portefeuilles froids de cryptomonnaie.
- N’achetez qu’auprès de sources officielles. Il convient d’acheter les portefeuilles physiques de cryptomonnaie auprès de sources officielles et fiables, comme le site du fabricant ou les revendeurs autorisés. Cela vous évitera d’acheter un faux portefeuille de cryptomonnaie.
- Cherchez les signes de manipulation. Avant d’utiliser un nouveau portefeuille physique, inspectez-le pour détecter d’éventuels signes de manipulation, comme des éraflures, de la colle ou des composants qui ne correspondent pas.
- Vérifiez le micrologiciel. Vous devez toujours vérifier que le micrologiciel du portefeuille physique est légitime et à jour. Vous pouvez le faire en consultant le site du fabricant et obtenir ainsi les informations relatives à la dernière version.
- Ne saisissez jamais la phrase secrète de récupération du portefeuille physique sur un ordinateur. Le fabricant du portefeuille physique ne vous demandera jamais de réaliser cette action.
- Protégez vos mots de passe, vos clés et vos phrases secrètes. Utilisez des mots de passe forts et complexes, conservez-les en lieu sûr et, évidemment, ne dites jamais vos clés privées ou vos phrases secrètes à qui que ce soit et en aucun cas.
- Protégez-vous. Assurez-vous d’installer une solution de protection fiable sur tous les appareils que vous utilisez pour gérer vos portefeuilles de cryptomonnaie.