Ils identifient l'attaque la plus courante pour voler des crypto-monnaies en Amérique latine

Ils ont trouvé des logiciels malveillants qui ciblent les portefeuilles de crypto-monnaie en Amérique latine. Cette attaque est connue sous le nom de DoubleFinger et s'est avérée capable de voler de la crypto-monnaie, même à partir de portefeuilles physiques ou matériels, qui sont généralement considérés comme plus sûrs que les portefeuilles numériques ordinaires.

Kaspersky, une société de cybersécurité, était chargée de trouver cette nouvelle attaque active en Europe, aux États-Unis et en Amérique latine . Cependant, ils se concentrent en grande partie sur notre région.

"Une autre chose que cette arnaque montre clairement est le grand intérêt des criminels pour les actifs numériques, donc quiconque veut investir dans cette modalité doit être vigilant, mettre en œuvre des mesures de sécurité plus strictes et rester informé des nouvelles arnaques et comment les éviter, car les fraudes sophistiquées comme ceux-ci continueront d'apparaître », a déclaré Fabio Assolini, directeur de l'équipe mondiale de recherche et d'analyse pour l'Amérique latine chez Kaspersky.

Comment fonctionne cette attaque

Le logiciel malveillant fonctionne en cinq étapes, ce qui le rend similaire à une attaque de menace persistante avancée (APT), qui est une modalité qui déploie des techniques de piratage avancées, clandestines et continues pour accéder à un système et y rester pendant une période prolongée. .

Le processus d'infection commence lorsque les victimes ouvrent un fichier malveillant dans un e-mail. À ce stade, DoubleFinger infecte l'ordinateur et commence son processus d'infiltration.

L'aspect différentiel de ce malware est sa capacité à voler des crypto-monnaies stockées dans des portefeuilles matériels, généralement considérée comme une option plus sûre en raison de sa nature physique et de sa déconnexion d'Internet.

Pour y parvenir, DoubleFinger télécharge des fichiers malveillants sur le système infecté, divisés en cinq étapes, évitant ainsi la détection par les protocoles de sécurité.

Au cours des deux premières étapes, le code non malveillant est téléchargé dans une image PNG légitime et un fichier Java authentique. Ces codes eux-mêmes n'exécutent aucune action malveillante, ce qui les rend difficiles à détecter. Dans la troisième étape, la technique de craquage d'un code caché dans des images légitimes est utilisée, complétant ainsi l'infection.

Dans la quatrième phase, le logiciel malveillant exécute un processus légitime dans la mémoire de l'ordinateur, en utilisant la technique dite "sans fichier". À ce stade, le virus exécute une copie du processus et ajoute le code malveillant compilé à l'étape précédente. Les deux processus sont stockés en mémoire : l'un propre, l'autre malveillant.

Enfin, dans la dernière étape, une image est téléchargée qui est en fait le programme de voleur de GreetingGhoul, un composant important de cette arnaque.

Une fois le système infecté, le programme voleur commence à détecter s'il existe des applications de portefeuille numérique de crypto-monnaie et lorsqu'il les trouve, il crée un écran superposé pour voler les informations d'identification d'accès.

En plus de ce type d'attaque, Kaspersky a également trouvé des virus d'accès à distance, qui permettent aux cybercriminels de cibler les entreprises. Dans ce cas, ce qu'ils faisaient était de contourner les applications de portefeuille numérique qui ne fonctionnent que sur des ordinateurs préalablement autorisés, leur permettant de commettre une fraude.

Parmi les recommandations de la société de cybersécurité pour éviter ce type d'arnaque, figure l'achat de produits officiels répondant aux normes de sécurité, utiliser des mots de passe sécurisés, mettre à jour les applications de crypto-monnaie et être au courant de tout type de manipulation ou d'activité inhabituelle.