Les applications compromises ont servi de couverture au malware extrêmement intrusif ElectroRAT, ont déclaré les chercheurs
Les experts en cybersécurité de l’entreprise de sécurité Intezer Labs ont découvert au moins trois applications liées à la cryptomonnaie qui ont fait partie d’une opération malveillante d’un an visant à voler des cryptomonnaies directement dans le portefeuille des utilisateurs. Deux de ces trois applications, Jamm et eTrade/Kintum, sont des applications de trading bidon, tandis que la troisième, DaoPoker, attire les utilisateurs par le biais de ses associations de jeu.
La montée en flèche des prix de la cryptomonnaie a attiré l’attention de nouveaux investisseurs, ce qui a entraîné une augmentation de l’activité des pirates informatiques et des acteurs malveillants à la recherche de gains financiers. Les chercheurs ont rapporté que le logiciel malveillant qui visait les utilisateurs de cryptomonnaies par la création de plusieurs fausses applications a été diffusé au cours de l’année dernière et n’a été détecté que le mois dernier.
Surnommé ElectroRAT, le nouveau cheval de Troie d’accès à distance (RAT) a contribué à dérober de la cryptomonnaie dans les portefeuilles d’au moins des milliers d’utilisateurs de Windows, MacOS et Linux, ajoute le rapport.
Les fausses applications étaient hébergées sur leurs propres sites web et servaient de couverture au malware extrêmement intrusif ElectroRAT, selon le rapport. « Il possède diverses capacités telles que l’enregistrement des touches, la prise de captures d’écran, le téléchargement de fichiers depuis le disque, le téléchargement de fichiers et l’exécution de commandes sur la console de la victime », explique-t-il.
Une fois téléchargée et lancée, l’application compromise présente une interface utilisateur en avant-plan conçue pour détourner l’attention des processus malveillants en arrière-plan et éviter toute suspicion à leur égard. Les applications attirent les victimes en se promouvant activement sur diverses plateformes de médias sociaux, dont Twitter et Telegram. En outre, les applications ont également été approuvées sur des forums de cryptomonnaies comme Bitcointalk.
La campagne, qui a un an d’existence, a déjà infecté des « milliers de victimes » avant d’être découverte. La société de sécurité a ajouté qu’il y avait des preuves que certaines victimes des fausses applications utilisaient MetaMask et d’autres portefeuilles cryptés populaires.
Expliquant comment les fausses applications ont réussi à se maintenir à flot aussi longtemps, Intezer a déclaré que le malware était écrit dans un langage de programmation multi-plateforme appelé Golang, ce qui le rendait plus difficile à détecter. Il a ajouté qu’il était également inhabituel qu’une RAT conçue pour voler des informations personnelles sensibles à des utilisateurs de crypto soit écrite de toutes pièces.
« Il est encore plus rare de voir une campagne aussi vaste et ciblée qui comprend divers éléments tels que de fausses applications et de faux sites web, et des efforts de marketing/promotion via des forums et des médias sociaux pertinents », ont ajouté les chercheurs.
Le problème des fausses applications qui escroquent les utilisateurs de crypto n’est pas nouveau. En 2020, plusieurs cas où des milliers de clients ont été dupés par de fausses versions d’applications et d’extensions de navigateur légitimes telles que MetaMask ou Ledger ont été signalés.
