Attention, un nouveau logiciel malveillant ciblant les investisseurs crypto est en circulation

Ruholamin Haqshanas
| 3 min read
Image Source: Pixabay

Selon un rapport récent du logiciel anti-malware Malwarebytes, deux nouvelles menaces de cybersécurité, à savoir le ransomware MortalKombat récemment découvert et une variante GO du malware Laplas Clipper, sont désormais utilisées par les pirates pour voler les cryptomonnaies des victimes.

Ces pirates et cybercriminels ciblent les investisseurs crypto avec ces deux logiciels malveillants qui “parcourent” Internet à la recherche d’investisseurs imprudents pour leur voler leurs fonds.

Les victimes de l’attaque par hameçonnage sont principalement situées aux États-Unis, avec un pourcentage plus faible de victimes au Royaume-Uni, en Turquie et aux Philippines.

L’équipe de recherche sur les renseignements sur les menaces de l’entreprise, Cisco Talos, a déclaré avoir observé le criminel en train de scanner Internet à la recherche de cibles potentielles avec un port 3389 du protocole de bureau à distance (RDP) mis à jour, un protocole propriétaire qui fournit à un utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau.

Selon l’étude, la campagne commence par un courriel de hameçonnage (phishing ) “et donne le coup d’envoi d’une série d’attaques en plusieurs étapes. Le pirate infecte l’ordinateur de la victime avec un logiciel malveillant ou un ransomware, puis supprime les preuves des fichiers malveillants, couvrant ainsi ses traces et rendant l’analyse difficile”.

L’e-mail de phishing est accompagné d’un fichier ZIP malveillant contenant un script de type BAT loader qui télécharge un autre fichier ZIP malveillant lorsque la victime l’ouvre. Le malware prend alors contrôle de l’appareil de la victime et exécute la charge utile.

Talos a noté que la méthode classique d’attaque se matérialise par un email de phishing dans lequel les pirates se font passer pour CoinPayments, une passerelle de paiement en crypto tout à fait légitime.

Pour que les e-mails aient l’air encore plus légitimes, ils utilisent un expéditeur du type “noreply[at]CoinPayments[.]net “, l’objet de l’e-mail étant “[CoinPayments[.]net] Payment Timed Out”.

Dans ce cas précis, un fichier ZIP malveillant est joint avec un nom de fichier ressemblant à un identifiant de transaction mentionné dans le corps de l’e-mail, ce qui incite la victime à décompresser la pièce jointe malveillante afin d’en voir le contenu ; il s’agit en réalité du BAT loader malveillant.

Les menaces de ransomware augmentent alors que les revenus diminuent

Le nombre d’attaques avec des ransomwares continue d’augmenter. Cependant, les victimes sont de moins en moins disposées à payer les attaquants pour ce qu’ils demandent, selon un récent rapport de Chainalysis, qui révèle que les revenus des attaquants tirés des ransomwares ont chuté de 40 % l’année dernière.

Il convient de noter que les groupes de pirates nord-coréens représentent une part considérable des cyberactivités illicites. Tout récemment, les agences de renseignement sud-coréennes et américaines ont averti que les pirates informatiques basés à Pyongyang tentent de frapper les “grandes institutions internationales” avec des attaques de ransomware.

En décembre 2022, Kaspersky avait également révélé que BlueNoroff, un sous-groupe du groupe de pirates nord-coréen Lazarus, parrainé par l’État, se faisait passer pour des capital-risqueurs cherchant à investir dans des startups crypto, ce qui était une nouvelle méthode de phishing.

Suivez nos liens d’affiliés:

  • Pour acheter des cryptomonnaies en Zone SEPA, Europe et citoyens français, visitez Coinhouse 
  • Pour acheter des cryptomonnaies au Canada visitez Bitbuy
  • Pour sécuriser ou stocker vos cryptomonnaies, procurez-vous un portefeuille Ledger
  • Pour transiger vos cryptos de façon anonyme, installez l’application NordVPN

Pour accumuler des cryptos en jouant :

  • Au poker sur la plateforme de jeux CoinPoker
  • À un fantasy football mondial sur la plateforme Sorare

Restez informé grâce à nos réseaux sociaux: