Les utilisateurs de YouTube sont avertis des vidéos qui promeuvent discrètement un cheval de Troie voleur de mots de passe

YouTube Videos Promote Password Stealing Malware

En avril, des chercheurs en sécurité de Fortinet ont parlé d' une campagne en cours visant à propager un programme malveillant volant des informations, appelé Predator the Thief. La campagne en question était active depuis au moins juillet 2018 et visait les utilisateurs russophones. Les opérateurs de programmes malveillants avaient acheté Predator the Thief à son auteur sur un forum de piratage et le distribuaient à l’aide de fichiers exécutables soigneusement élaborés, joints à des courriers électroniques et se présentant comme des documents Word.

Il est difficile de dire si ce gang de cybercriminels se propage toujours. Ce que nous savons cependant, c’est qu’il existe actuellement une autre campagne. Il cible un nombre beaucoup plus large d'utilisateurs et utilise un vecteur d'infection relativement peu conventionnel.

Predator the Thief attaque les amateurs de bitcoins qui veulent gagner rapidement de l'argent

Le schéma est aussi simple que intelligent. Il suffit aux escrocs d'attirer des utilisateurs naïfs vers une vidéo YouTube et d'espérer que les spectateurs seront trop tentés par le stratagème «argent contre rien» pour s'apercevoir que quelque chose ne va pas.

Malgré le fait que toute la campagne ait été activement discutée pendant quelques jours, la vidéo en question est toujours disponible et accessible à tous. Après l'avoir vu, nous pouvons certainement voir pourquoi certains utilisateurs craqueraient. Ce n'est pas une simple publicité. C'est une vidéo pédagogique complète de quatre minutes qui montrerait le fonctionnement du programme.

Apparemment, il vous suffit de télécharger et d’installer un outil, puis de saisir l’adresse du portefeuille que vous souhaitez vider, ainsi que d’autres informations. Le programme fait sa magie, et quelques heures plus tard, vous avez une version chiffrée de la clé privée très importante. Le décryptage prend un peu plus de temps, mais à la fin, la vidéo suggère que vous serez en mesure de décoller avec les bitcoins de quelqu'un d'autre sans effort.

Et vous savez quelle est la meilleure partie? Il y a un lien vers l'outil de récupération de clé privée dans la description de la vidéo.

En fait, trois liens menant au même fichier sont hébergés sur trois plates-formes différentes: Yandex Disk, Google Drive et Mega. Dans une tentative maladroite de mettre les utilisateurs suspects à l'aise, l'auteur de la vidéo déclare que, les liens menant à des services d'hébergement en nuage légitimes, le fichier ne peut en aucun cas être infecté par des logiciels malveillants. Étant donné que vous avez lu ceci, vous ne serez probablement pas trop surpris d'apprendre que c'est le cas.

Comment fonctionne Predator the Thief

Le système a été découvert pour la première fois par un chercheur en sécurité indépendant qui utilise le pseudonyme Twitter @0xFrost, puis le logiciel malveillant a été analysé par Bleeping Computer.

Les utilisateurs qui tombent dans le piège téléchargent une archive ZIP nommée Crypto World.zip, qui contient un exécutable anodin appelé setup.exe. C'est le cheval de Troie lui-même, et quand les experts l'ont examiné, le taux de détection de Virus Total était très faible, ce qui montre que les auteurs de malwares ont ajouté de nouvelles fonctionnalités à leur création pour le rendre plus furtif.. setup.exe extrait et supprime un autre exécutable qui communique avec le serveur Command & Control (C&C) et s’occupe de la principale opération de vol d’informations.

Prêt à l'emploi, le logiciel malveillant est conçu pour voler les identifiants de connexion et autres données des navigateurs, des applications de jeux en ligne, des clients FTP, VPN et de messagerie instantanée, ainsi que des services d'authentification à deux facteurs. Il peut également utiliser la caméra Web de l'appareil pour prendre des photos et enregistrer des vidéos, gratter le presse-papiers et même voler des fichiers spécifiques. Des modules supplémentaires téléchargés à partir du C&C peuvent encore élargir ses capacités.

Malheureusement, personne ne sait combien de personnes Predator le voleur a déjà touchées et quelles informations ont été volées. Étant donné que la vidéo qui démarre toute la chaîne d'infection est toujours en direct, nous conseillons toutefois aux amateurs de crypto-monnaie d'être particulièrement vigilants. Ceci, remarquez-le, est quelque chose qu'ils devraient déjà savoir.

Méfiez-vous des escroqueries liées à la crypto-monnaie

Ce n'est pas le premier schéma de get-rich-quick lié au bitcoin et, selon toute probabilité, ce ne sera pas le dernier. Il est dommage que Google prenne tant de temps à supprimer la vidéo de YouTube, mais la vérité est que, une fois hors connexion, les criminels trouveront un autre moyen de vous vendre quelque chose qui semble trop beau pour être vrai et qui l'est probablement. Le fait est que si vous aimez la crypto-monnaie, vous devez être constamment à la recherche de personnes qui tentent de vous arnaquer à votre argent et/ou à vos données.

November 13, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.