À la mi-décembre 2021, un fichier suspect a été téléchargé sur VirusTotal, un service en ligne qui analyse les fichiers à la recherche de malware. Au premier abord, on dirait le programme d’installation d’un portefeuille de crypto-monnaie. Pourtant, nos experts l’ont analysé et ont trouvé qu’en plus du portefeuille, il installe un malware sur le dispositif de l’utilisateur. Il semblerait que les créateurs de ce programme ne soient pas de petits escrocs, mais le célèbre groupe de cybercriminels Lazarus.
Qu’est-ce que Lazarus ?
Lazarus est un groupe d’APT. Ces groupes sont des organisations criminelles généralement bien financées qui développent des malwares complexes et se sont spécialisées dans les attaques ciblées, notamment pour l’espionnage industriel ou politique. L’argent ne les intéresse pas vraiment et n’est généralement pas leur but principal.
En revanche, Lazarus est un groupe d’APT qui cherche activement à voler l’argent des utilisateurs. En 2016, par exemple, le groupe a obtenu une coquette somme de la banque centrale du Bangladesh. En 2018, le groupe a infecté une plateforme d’échange de crypto-monnaie avec un malware. Et en 2020 il a testé un ransomware.
Une porte dérobée dans un portefeuille DeFi
Le fichier qui a interpellé l’attention de nos chercheurs contenait un programme d’installation infecté d’un portefeuille décentralisé de crypto-monnaies. La DeFi, ou finance décentralisée, est un modèle financier sans intermédiaire, une banque par exemple, et toutes les transactions se font directement entre les utilisateurs. Au cours de ces dernières années, la technologie de DeFi a gagné en popularité. Selon Forbes, entre mai 2020 et mai 2021 la valeur des biens placés dans les systèmes de DeFi a été multipliée par 88. Il n’est donc pas surprenant que la DeFi intéresse les cybercriminels.
Nous ne savons pas vraiment comment les cybercriminels arrivent à convaincre les victimes de télécharger et d’exécuter le fichier infecté. Pourtant, nos experts pensent que les escrocs envoient des mails ou des messages ciblés aux utilisateurs sur les réseaux sociaux. Contrairement aux envois massifs, ces messages sont adaptés au destinataire et sont très plausibles.
Dans tous les cas, lorsque l’utilisateur ouvre le programme d’installation, ce dernier crée deux fichiers exécutables : un pour un programme malveillant et un autre pour un vrai portefeuille de crypto-monnaies. Le malware se fait passer pour le navigateur Google Chrome et essaie de cacher l’existence du programme infecté en copiant plutôt un fichier propre, puis l’exécute immédiatement pour que l’utilisateur ne se doute de rien. Une fois que le portefeuille est installé, le malware continue de s’exécuter en arrière-plan.
Est-ce vraiment dangereux ?
Le malware qui se faufile dans l’ordinateur avec le portefeuille DeFi est une porte dérobée. Selon les intentions de l’opérateur, cette porte dérobée permet de recueillir des informations ou de prendre le contrôle de l’appareil à distance. Plus concrètement, le malware peut :
- Commencer et finaliser des processus ;
- Exécuter des ordres sur le dispositif ;
- Télécharger des fichiers sur le dispositif, les supprimer et envoyer des fichiers de l’appareil au serveur C&C.
En d’autres termes, si une attaque réussit, le malware peut désactiver l’antivirus et voler tout ce dont il a envie, qu’il s’agisse de documents importants, de comptes ou d’argent. Il peut aussi télécharger d’autres programmes malveillants sur l’ordinateur au bon vouloir des cybercriminels. Comme d’habitude, les détails techniques de ce cheval de Troie sont disponibles sur le blog Securelist de nos experts.
Comment vous protéger
Si vous gérez les finances, et notamment des crypto-monnaies, méfiez-vous des messages qui essaient de vous convaincre d’installer des programmes de sources inconnues. De plus, vérifiez que tous vos dispositifs sont sécurisés, surtout ceux que vous utilisez pour vos transactions de crypto-monnaie. Une solution de sécurité fiable vous apporte une aide précieuse lorsque faire attention n’est pas suffisant.