Les utilisateurs de YouTube sont avertis des vidéos qui promeuvent discrètement un cheval de Troie voleur de mots de passe
En avril, des chercheurs en sécurité de Fortinet ont parlé d' une campagne en cours visant à propager un programme malveillant volant des informations, appelé Predator the Thief. La campagne en question était active depuis au moins juillet 2018 et visait les utilisateurs russophones. Les opérateurs de programmes malveillants avaient acheté Predator the Thief à son auteur sur un forum de piratage et le distribuaient à l’aide de fichiers exécutables soigneusement élaborés, joints à des courriers électroniques et se présentant comme des documents Word.
Il est difficile de dire si ce gang de cybercriminels se propage toujours. Ce que nous savons cependant, c’est qu’il existe actuellement une autre campagne. Il cible un nombre beaucoup plus large d'utilisateurs et utilise un vecteur d'infection relativement peu conventionnel.
Table of Contents
Predator the Thief attaque les amateurs de bitcoins qui veulent gagner rapidement de l'argent
Le schéma est aussi simple que intelligent. Il suffit aux escrocs d'attirer des utilisateurs naïfs vers une vidéo YouTube et d'espérer que les spectateurs seront trop tentés par le stratagème «argent contre rien» pour s'apercevoir que quelque chose ne va pas.
Malgré le fait que toute la campagne ait été activement discutée pendant quelques jours, la vidéo en question est toujours disponible et accessible à tous. Après l'avoir vu, nous pouvons certainement voir pourquoi certains utilisateurs craqueraient. Ce n'est pas une simple publicité. C'est une vidéo pédagogique complète de quatre minutes qui montrerait le fonctionnement du programme.
Apparemment, il vous suffit de télécharger et d’installer un outil, puis de saisir l’adresse du portefeuille que vous souhaitez vider, ainsi que d’autres informations. Le programme fait sa magie, et quelques heures plus tard, vous avez une version chiffrée de la clé privée très importante. Le décryptage prend un peu plus de temps, mais à la fin, la vidéo suggère que vous serez en mesure de décoller avec les bitcoins de quelqu'un d'autre sans effort.
Et vous savez quelle est la meilleure partie? Il y a un lien vers l'outil de récupération de clé privée dans la description de la vidéo.
En fait, trois liens menant au même fichier sont hébergés sur trois plates-formes différentes: Yandex Disk, Google Drive et Mega. Dans une tentative maladroite de mettre les utilisateurs suspects à l'aise, l'auteur de la vidéo déclare que, les liens menant à des services d'hébergement en nuage légitimes, le fichier ne peut en aucun cas être infecté par des logiciels malveillants. Étant donné que vous avez lu ceci, vous ne serez probablement pas trop surpris d'apprendre que c'est le cas.
Comment fonctionne Predator the Thief
Le système a été découvert pour la première fois par un chercheur en sécurité indépendant qui utilise le pseudonyme Twitter @0xFrost, puis le logiciel malveillant a été analysé par Bleeping Computer.
Les utilisateurs qui tombent dans le piège téléchargent une archive ZIP nommée Crypto World.zip, qui contient un exécutable anodin appelé setup.exe. C'est le cheval de Troie lui-même, et quand les experts l'ont examiné, le taux de détection de Virus Total était très faible, ce qui montre que les auteurs de malwares ont ajouté de nouvelles fonctionnalités à leur création pour le rendre plus furtif.. setup.exe extrait et supprime un autre exécutable qui communique avec le serveur Command & Control (C&C) et s’occupe de la principale opération de vol d’informations.
Prêt à l'emploi, le logiciel malveillant est conçu pour voler les identifiants de connexion et autres données des navigateurs, des applications de jeux en ligne, des clients FTP, VPN et de messagerie instantanée, ainsi que des services d'authentification à deux facteurs. Il peut également utiliser la caméra Web de l'appareil pour prendre des photos et enregistrer des vidéos, gratter le presse-papiers et même voler des fichiers spécifiques. Des modules supplémentaires téléchargés à partir du C&C peuvent encore élargir ses capacités.
Malheureusement, personne ne sait combien de personnes Predator le voleur a déjà touchées et quelles informations ont été volées. Étant donné que la vidéo qui démarre toute la chaîne d'infection est toujours en direct, nous conseillons toutefois aux amateurs de crypto-monnaie d'être particulièrement vigilants. Ceci, remarquez-le, est quelque chose qu'ils devraient déjà savoir.
Méfiez-vous des escroqueries liées à la crypto-monnaie
Ce n'est pas le premier schéma de get-rich-quick lié au bitcoin et, selon toute probabilité, ce ne sera pas le dernier. Il est dommage que Google prenne tant de temps à supprimer la vidéo de YouTube, mais la vérité est que, une fois hors connexion, les criminels trouveront un autre moyen de vous vendre quelque chose qui semble trop beau pour être vrai et qui l'est probablement. Le fait est que si vous aimez la crypto-monnaie, vous devez être constamment à la recherche de personnes qui tentent de vous arnaquer à votre argent et/ou à vos données.