Déplier le sommaire Replier le sommaire
Une Campagne de Phishing Ciblée sur les Utilisateurs de Cryptomonnaies
Des chercheurs ont récemment mis au jour une campagne de phishing d’une grande sophistication, ciblant spécifiquement les utilisateurs de cryptomonnaies. Cette opération complexe était armée du tristement célèbre FatalRAT, ainsi que d’autres logiciels malveillants auxiliaires comme Clipper et Keylogger, mise en place par des acteurs de menaces qui ont recours à des techniques de chargement latéral de DLL pour mener à bien leur manœuvre.
Reconnu pour être un cheval de Troie d’accès à distance, le FatalRAT permet aux attaquants de prendre le contrôle des systèmes des victimes, facilitant ainsi le vol d’informations sensibles.
L’intégration stratégique d’un module clipper en plus du FatalRAT dans cette campagne indique une intention claire de viser les utilisateurs de cryptomonnaies, en renforçant les capacités d’interception des données grâce à un module keylogger supplémentaire.
La Campagne de Phishing FatalRAT
Visant principalement les individus ou les organisations sinophones, cette campagne de phishing a utilisé des installateurs en langue chinoise. Elle a été conçue pour imiter l’interface du portefeuille de cryptomonnaies Exodus, dans le but de tromper les utilisateurs pour qu’ils révèlent leurs informations confidentielles.
Selon Cyble Research and Intelligence Labs (CRIL), les utilisateurs dupés par le site trompeur et ayant téléchargé les faux installateurs Exodus ont, sans le savoir, installé FatalRAT, Clipper, et Keylogger. Les tactiques de chargement latéral de DLL ont permis aux attaquants d’échapper à la détection tout en exécutant aisément leurs charges utiles malveillantes.
Une fois installé, l’installateur d’Exodus trojanisé offrait aux attaquants un accès non autorisé, leur permettant de voler discrètement des informations, manipuler des données et intercepter des transactions. Cette opération, renforcée par la tactique de diversion d’une installation en premier plan, garantissait que les utilisateurs ne se rendaient pas compte des activités malveillantes se déroulant en arrière-plan.
Analyse Technique de la Campagne FatalRAT
L’analyse technique a révélé une attaque en plusieurs étapes se déroulant avec précision, déposant des fichiers dans des répertoires désignés et recourant au chargement latéral de DLL pour exécuter discrètement les charges utiles. FatalRAT, doté de fonctionnalités allant de l’enregistrement des frappes à la vol d’informations, était semblable à des variantes précédemment identifiées par des experts en sécurité.
Le module clipper, intégré au sein de cette manœuvre de phishing, surveillait l’activité du presse-papiers, interceptant les adresses de cryptomonnaies et les substituant par des adresses de portefeuilles malveillants contrôlés par les acteurs de la menace. Pendant ce temps, le module keylogger fonctionnait de manière indépendante, enregistrant les frappes et les événements du système pour une exfiltration ultérieure.
L’attribution de cette campagne suggère l’implication d’un groupe responsable de campagnes précédentes, comme en témoignent les similitudes dans la chaîne d’infection, les noms de fichiers et les stratégies de ciblage. L’intérêt porté aux individus chinois et le schéma des serveurs de commande et de contrôle renforcent cette hypothèse.
De plus, l’augmentation de la popularité des cryptomonnaies a transformé leurs utilisateurs en cibles privilégiées pour les cybercriminels. Avec la combinaison de FatalRAT et des modules clipper dédiés, les attaquants peuvent exploiter les failles dans les transactions de cryptomonnaies, représentant ainsi une menace considérable pour les utilisateurs.
Avertissement média : Ce rapport se base sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement, et il incombe à l’utilisateur d’en dépendre en totalité. Hackitude n’assume aucune responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de ces informations.