{"id":18806,"date":"2022-04-25T10:37:01","date_gmt":"2022-04-25T08:37:01","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18806"},"modified":"2022-04-25T10:37:01","modified_gmt":"2022-04-25T08:37:01","slug":"lazarus-defi-wallet-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/lazarus-defi-wallet-backdoor\/18806\/","title":{"rendered":"Une porte d\u00e9rob\u00e9e Lazarus dans un portefeuille DeFi"},"content":{"rendered":"

\u00c0 la mi-d\u00e9cembre 2021, un fichier suspect a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal, un service en ligne qui analyse les fichiers \u00e0 la recherche de malware. Au premier abord, on dirait le programme d\u2019installation d\u2019un portefeuille de crypto-monnaie. Pourtant, nos experts l\u2019ont analys\u00e9<\/a> et ont trouv\u00e9 qu\u2019en plus du portefeuille, il installe un malware sur le dispositif de l\u2019utilisateur. Il semblerait que les cr\u00e9ateurs de ce programme ne soient pas de petits escrocs, mais le c\u00e9l\u00e8bre groupe de cybercriminels Lazarus<\/a>.<\/p>\n

Qu\u2019est-ce que Lazarus ?<\/h2>\n

Lazarus est un groupe d\u2019APT<\/a>. Ces groupes sont des organisations criminelles g\u00e9n\u00e9ralement bien financ\u00e9es qui d\u00e9veloppent des malwares complexes et se sont sp\u00e9cialis\u00e9es dans les attaques cibl\u00e9es<\/a>, notamment pour l\u2019espionnage industriel ou politique. L\u2019argent ne les int\u00e9resse pas vraiment et n\u2019est g\u00e9n\u00e9ralement pas leur but principal.<\/p>\n

En revanche, Lazarus est un groupe d\u2019APT qui cherche activement \u00e0 voler l\u2019argent des utilisateurs. En 2016, par exemple, le groupe a obtenu une coquette somme<\/a> de la banque centrale du Bangladesh. En 2018, le groupe a infect\u00e9<\/a> une plateforme d\u2019\u00e9change de crypto-monnaie avec un malware. Et en 2020 il a test\u00e9 un ransomware<\/a>.<\/p>\n

Une porte d\u00e9rob\u00e9e dans un portefeuille DeFi<\/h2>\n

Le fichier qui a interpell\u00e9 l\u2019attention de nos chercheurs contenait un programme d\u2019installation infect\u00e9 d\u2019un portefeuille d\u00e9centralis\u00e9 de crypto-monnaies. La DeFi, ou finance d\u00e9centralis\u00e9e, est un mod\u00e8le financier sans interm\u00e9diaire, une banque par exemple, et toutes les transactions se font directement entre les utilisateurs. Au cours de ces derni\u00e8res ann\u00e9es, la technologie de DeFi a gagn\u00e9 en popularit\u00e9. Selon Forbes<\/em>, entre mai 2020 et mai 2021 la valeur des biens plac\u00e9s dans les syst\u00e8mes de DeFi a \u00e9t\u00e9 multipli\u00e9e par 88<\/a>. Il n\u2019est donc pas surprenant que la DeFi int\u00e9resse les cybercriminels.<\/p>\n

Nous ne savons pas vraiment comment les cybercriminels arrivent \u00e0 convaincre les victimes de t\u00e9l\u00e9charger et d\u2019ex\u00e9cuter le fichier infect\u00e9. Pourtant, nos experts pensent que les escrocs envoient des mails ou des messages cibl\u00e9s<\/a> aux utilisateurs sur les r\u00e9seaux sociaux. Contrairement aux envois massifs, ces messages sont adapt\u00e9s au destinataire et sont tr\u00e8s plausibles.<\/p>\n

Dans tous les cas, lorsque l\u2019utilisateur ouvre le programme d\u2019installation, ce dernier cr\u00e9e deux fichiers ex\u00e9cutables\u00a0: un pour un programme malveillant et un autre pour un vrai portefeuille de crypto-monnaies. Le malware se fait passer pour le navigateur Google Chrome et essaie de cacher l\u2019existence du programme infect\u00e9 en copiant plut\u00f4t un fichier propre, puis l\u2019ex\u00e9cute imm\u00e9diatement pour que l\u2019utilisateur ne se doute de rien. Une fois que le portefeuille est install\u00e9, le malware continue de s\u2019ex\u00e9cuter en arri\u00e8re-plan.<\/p>\n

Est-ce vraiment dangereux ?<\/h2>\n

Le malware qui se faufile dans l\u2019ordinateur avec le portefeuille DeFi est une porte d\u00e9rob\u00e9e. Selon les intentions de l\u2019op\u00e9rateur, cette porte d\u00e9rob\u00e9e permet de recueillir des informations ou de prendre le contr\u00f4le de l\u2019appareil \u00e0 distance. Plus concr\u00e8tement, le malware peut\u00a0:<\/p>\n