crypromonnaies

Deux fois plus d’ennuis : le voleur de cryptomonnaie DoubleFinger

Nous vous expliquons comment le programme malveillant avancé DoubleFinger télécharge GreetingGhoul, un malware qui s’en prend aux portefeuilles de cryptomonnaie.

Kaspersky Team
13 Juin 2023

Les cryptomonnaies subissent les attaques d’actes criminels en tout genre : de l’habituelle arnaque de minage de Bitcoins à de grandioses vols de cryptomonnaie estimés à plusieurs millions de dollars.

Les personnes qui ont de la cryptomonnaie font constamment face à de nouveaux dangers. D’ailleurs, nous avons récemment parlé de faux portefeuilles de cryptomonnaie qui ressemblaient et fonctionnaient comme d’authentiques portefeuilles sauf qu’ils pouvaient voler tout l’argent. Désormais, nos experts ont découvert une toute nouvelle menace : une attaque sophistiquée exploite le chargeur DoubleFinger et ses amis qui ne sont autres que le voleur de cryptomonnaie GreetingGhoul et le cheval de Troie d’accès à distance Remcos. Reprenons depuis le début…

Comment DoubleFinger installe GreetingGhoul

Nos experts ont relevé le haut niveau technique de l’attaque et sa nature à plusieurs étapes, ce qui fait penser à l’attaque d’une menace persistante avancée (APT). L’infection DoubleFinger commence avec un e-mail qui contient un fichier PIF malveillant. Une fois que le destinataire a ouvert la pièce jointe, une chaîne d’événements commence et se déroule de cette façon :

Étape 1. DoubleFinger exécute un shellcode qui télécharge un fichier au format PNG depuis la plateforme de partage d’images Imgur.com. Pourtant, il ne s’agit pas du tout d’une image : le fichier contient plusieurs composants chiffrés de DoubleFinger qui sont utilisés lors des prochaines attaques de l’attaque. On y trouve notamment le chargeur qui sera utilisé lors de la deuxième étape de l’attaque, un fichier java.exe légitime, et un autre fichier PNG qui sera déployé un peu plus tard, à la quatrième étape.

Étape 2. Le chargeur de la deuxième étape de DoubleFinger s’exécute en utilisant le fichier java.exe légitime mentionné ci-dessus, puis exécute un autre shellcode qui télécharge, déchiffre et lance la troisième étape de DoubleFinger.

Étape 3. À cette étape, DoubleFinger réalise plusieurs actions pour déjouer le programme de sécurité installé sur l’ordinateur. Ensuite, le chargeur déchiffre et lance la quatrième étape, qui se trouve dans le fichier PNG mentionné lors de la première étape. D’ailleurs, ce fichier PNG contient le code malveillant et l’image qui a donné son nom au programme malveillant :

Fichier PNG utilisé par DoubleFinger avec le code malveillant déployé lors de la quatrième étape

Les deux doigts dont DoubleFinger tire son nom

Étape 4. Lors de cette étape, DoubleFinger prépare le lancement de la cinquième étape en utilisant une technique nommée Process Doppelgänging, qui remplace le processus légitime par un autre modifié qui contient la charge virale de la cinquième étape.

Étape 5. Après avoir effectué toutes les manipulations précédentes, DoubleFinger se met au travail et fait ce pour quoi il a été conçu : charger et déchiffrer un autre fichier PNG qui contient la charge virale finale. Il s’agit du voleur de cryptomonnaie GreetingGhoul qui s’installe dans le système et est programmé dans le Planificateur de tâches afin de s’exécuter tous les jours à une heure précise.

Comment GreetingGhoul vole les portefeuilles de cryptomonnaie

Une fois que le chargeur a effectué son travail, GreetingGhoul entre directement en jeu. Ce programme malveillant contient deux composants complémentaires :

Un qui détecte les applications de portefeuilles de cryptomonnaie dans le système et vole les données qui intéressent les cybercriminels (clés privées et phrases secrètes) ;
Un autre qui recouvre l’interface des applications de cryptomonnaie et intercepte les données saisies par l’utilisateur.

GreetingGhoul force l'interface des applications de cryptomonnaie

Exemple qui illustre comment GreetingGhoul cache l’interface des applications des portefeuilles de cryptomonnaie

Par conséquent, les cybercriminels à l’origine de DoubleFinger peuvent prendre le contrôle des portefeuilles de cryptomonnaie de la victime et retirer les fonds.

Nos experts ont trouvé plusieurs modifications de DoubleFinger dont certaines qui, cerise sur le gâteau, installent le cheval de Troie d’accès à distance relativement connu (auprès des cybercriminels) Remcos dans le système infecté. L’objectif à atteindre apparaît clairement dans son nom : REMote COntrol & Surveillance (Accès à distance et surveillance). En d’autres termes, Remcos permet aux cybercriminels d’observer toutes les actions de l’utilisateur et de contrôler pleinement le système infecté.

Comment protéger vos portefeuilles de cryptomonnaie

Les cryptomonnaies ne cessent d’attirer les cybercriminels, et les investisseurs en cryptomonnaie doivent bien réfléchir à la sécurité. D’ailleurs, nous vous conseillons de lire l’article que nous avons récemment publié : « Comment protéger votre cryptomonnaie : 4 conseils de sécurité« . D’autre part, voici un résumé des points essentiels :

Attendez-vous à recevoir des arnaques. Le monde de la cryptomonnaie regorge d’escrocs en toute genre. Scrutez constamment l’horizon pour détecter les pièges et vérifiez plusieurs fois et minutieusement tout ce que vous faites.
Ne mettez pas tous vos œufs dans le même panier. Associez les portefeuilles chauds (pour les transactions actuelles) et les portefeuilles froids (pour les investissements à long-terme).
Informez-vous pour savoir comment les cybercriminels peuvent attaquer les portefeuilles froids de cryptomonnaie.
N’achetez qu’auprès de sources officielles. Il convient d’acheter les portefeuilles physiques de cryptomonnaie auprès de sources officielles et fiables, comme le site du fabricant ou les revendeurs autorisés. Cela vous évitera d’acheter un faux portefeuille de cryptomonnaie.
Cherchez les signes de manipulation. Avant d’utiliser un nouveau portefeuille physique, inspectez-le pour détecter d’éventuels signes de manipulation, comme des éraflures, de la colle ou des composants qui ne correspondent pas.
Vérifiez le micrologiciel. Vous devez toujours vérifier que le micrologiciel du portefeuille physique est légitime et à jour. Vous pouvez le faire en consultant le site du fabricant et obtenir ainsi les informations relatives à la dernière version.
Ne saisissez jamais la phrase secrète de récupération du portefeuille physique sur un ordinateur. Le fabricant du portefeuille physique ne vous demandera jamais de réaliser cette action.
Protégez vos mots de passe, vos clés et vos phrases secrètes. Utilisez des mots de passe forts et complexes, conservez-les en lieu sûr et, évidemment, ne dites jamais vos clés privées ou vos phrases secrètes à qui que ce soit et en aucun cas.
Protégez-vous. Assurez-vous d’installer une solution de protection fiable sur tous les appareils que vous utilisez pour gérer vos portefeuilles de cryptomonnaie.

Les joueurs de Minecraft sont attaqués

Les mods pour Minecraft téléchargés depuis plusieurs sites gaming connus contiennent un programme malveillant dangereux. Voyons ce qu’il en est.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Deux fois plus d’ennuis : le voleur de cryptomonnaie DoubleFinger

Comment DoubleFinger installe GreetingGhoul

Comment GreetingGhoul vole les portefeuilles de cryptomonnaie

Comment protéger vos portefeuilles de cryptomonnaie

Que sont les draineurs de cryptomonnaies et comment les éviter

Huit des vols de cryptomonnaies les plus audacieux de l’histoire

Les joueurs de Minecraft sont attaqués

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky