{"id":20700,"date":"2023-06-13T09:32:19","date_gmt":"2023-06-13T07:32:19","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20700"},"modified":"2023-06-13T09:32:19","modified_gmt":"2023-06-13T07:32:19","slug":"doublefinger-crypto-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/doublefinger-crypto-stealer\/20700\/","title":{"rendered":"Deux fois plus d’ennuis : le voleur de cryptomonnaie DoubleFinger"},"content":{"rendered":"

Les cryptomonnaies subissent les attaques d\u2019actes criminels en tout genre\u00a0: de l\u2019habituelle arnaque de minage de Bitcoins<\/a> \u00e0 de grandioses vols de cryptomonnaie estim\u00e9s \u00e0 plusieurs millions de dollars<\/a>.<\/p>\n

\u00a0<\/p>\n

Les personnes qui ont de la cryptomonnaie font constamment face \u00e0 de nouveaux dangers. D\u2019ailleurs, nous avons r\u00e9cemment parl\u00e9 de faux portefeuilles de cryptomonnaie<\/a> qui ressemblaient et fonctionnaient comme d\u2019authentiques portefeuilles sauf qu\u2019ils pouvaient voler tout l\u2019argent. D\u00e9sormais, nos experts ont d\u00e9couvert<\/a> une toute nouvelle menace\u00a0: une attaque sophistiqu\u00e9e exploite le chargeur DoubleFinger et ses amis qui ne sont autres que le voleur de cryptomonnaie GreetingGhoul et le cheval de Troie d\u2019acc\u00e8s \u00e0 distance Remcos. Reprenons depuis le d\u00e9but\u2026<\/p>\n

\u00a0<\/p>\n

Comment DoubleFinger installe GreetingGhoul<\/h2>\n

Nos experts ont relev\u00e9 le haut niveau technique de l\u2019attaque et sa nature \u00e0 plusieurs \u00e9tapes, ce qui fait penser \u00e0 l\u2019attaque d\u2019une menace persistante avanc\u00e9e (APT)<\/a>. L\u2019infection DoubleFinger commence avec un e-mail qui contient un fichier PIF malveillant. Une fois que le destinataire a ouvert la pi\u00e8ce jointe, une cha\u00eene d\u2019\u00e9v\u00e9nements commence et se d\u00e9roule de cette fa\u00e7on\u00a0:<\/p>\n

\u00a0<\/p>\n

\u00c9tape 1.<\/strong> DoubleFinger ex\u00e9cute un shellcode<\/a> qui t\u00e9l\u00e9charge un fichier au format PNG depuis la plateforme de partage d\u2019images Imgur.com. Pourtant, il ne s\u2019agit pas du tout d\u2019une image\u00a0: le fichier contient plusieurs composants chiffr\u00e9s de DoubleFinger qui sont utilis\u00e9s lors des prochaines attaques de l\u2019attaque. On y trouve notamment le chargeur qui sera utilis\u00e9 lors de la deuxi\u00e8me \u00e9tape de l\u2019attaque, un fichier java.exe l\u00e9gitime, et un autre fichier PNG qui sera d\u00e9ploy\u00e9 un peu plus tard, \u00e0 la quatri\u00e8me \u00e9tape.<\/p>\n

\u00a0<\/p>\n

\u00c9tape 2.<\/strong> Le chargeur de la deuxi\u00e8me \u00e9tape de DoubleFinger s\u2019ex\u00e9cute en utilisant le fichier java.exe l\u00e9gitime mentionn\u00e9 ci-dessus, puis ex\u00e9cute un autre shellcode qui t\u00e9l\u00e9charge, d\u00e9chiffre et lance la troisi\u00e8me \u00e9tape de DoubleFinger.<\/p>\n

\u00a0<\/p>\n

\u00c9tape 3.<\/strong> \u00c0 cette \u00e9tape, DoubleFinger r\u00e9alise plusieurs actions pour d\u00e9jouer le programme de s\u00e9curit\u00e9 install\u00e9 sur l\u2019ordinateur. Ensuite, le chargeur d\u00e9chiffre et lance la quatri\u00e8me \u00e9tape, qui se trouve dans le fichier PNG mentionn\u00e9 lors de la premi\u00e8re \u00e9tape. D\u2019ailleurs, ce fichier PNG contient le code malveillant et l\u2019image qui a donn\u00e9 son nom au programme malveillant\u00a0:<\/p>\n

\u00a0<\/p>\n

\"Fichier<\/a>

Les deux doigts dont DoubleFinger tire son nom<\/p><\/div>\n

\u00a0<\/p>\n

\u00c9tape 4.<\/strong> Lors de cette \u00e9tape, DoubleFinger pr\u00e9pare le lancement de la cinqui\u00e8me \u00e9tape en utilisant une technique nomm\u00e9e Process Doppelg\u00e4nging<\/a>, qui remplace le processus l\u00e9gitime par un autre modifi\u00e9 qui contient la charge virale de la cinqui\u00e8me \u00e9tape.<\/p>\n

\u00a0<\/p>\n

\u00c9tape 5<\/strong>. Apr\u00e8s avoir effectu\u00e9 toutes les manipulations pr\u00e9c\u00e9dentes, DoubleFinger se met au travail et fait ce pour quoi il a \u00e9t\u00e9 con\u00e7u\u00a0: charger et d\u00e9chiffrer un autre fichier PNG qui contient la charge virale finale. Il s\u2019agit du voleur de cryptomonnaie GreetingGhoul qui s\u2019installe dans le syst\u00e8me et est programm\u00e9 dans le Planificateur de t\u00e2ches afin de s\u2019ex\u00e9cuter tous les jours \u00e0 une heure pr\u00e9cise.<\/p>\n

\u00a0<\/p>\n

Comment GreetingGhoul vole les portefeuilles de cryptomonnaie<\/h2>\n

Une fois que le chargeur a effectu\u00e9 son travail, GreetingGhoul entre directement en jeu. Ce programme malveillant contient deux composants compl\u00e9mentaires\u00a0:<\/p>\n

    \n
  1. Un qui d\u00e9tecte les applications de portefeuilles de cryptomonnaie dans le syst\u00e8me et vole les donn\u00e9es qui int\u00e9ressent les cybercriminels (cl\u00e9s priv\u00e9es et phrases secr\u00e8tes)\u00a0;<\/li>\n
  2. Un autre qui recouvre l\u2019interface des applications de cryptomonnaie et intercepte les donn\u00e9es saisies par l\u2019utilisateur.<\/li>\n<\/ol>\n

    \u00a0<\/p>\n

    \"GreetingGhoul<\/a>

    Exemple qui illustre comment GreetingGhoul cache l\u2019interface des applications des portefeuilles de cryptomonnaie<\/p><\/div>\n

    \u00a0<\/p>\n

    Par cons\u00e9quent, les cybercriminels \u00e0 l\u2019origine de DoubleFinger peuvent prendre le contr\u00f4le des portefeuilles de cryptomonnaie de la victime et retirer les fonds.<\/p>\n

    \u00a0<\/p>\n

    Nos experts ont trouv\u00e9 plusieurs modifications de DoubleFinger dont certaines qui, cerise sur le g\u00e2teau, installent le cheval de Troie d\u2019acc\u00e8s \u00e0 distance<\/a> relativement connu (aupr\u00e8s des cybercriminels) Remcos dans le syst\u00e8me infect\u00e9. L\u2019objectif \u00e0 atteindre appara\u00eet clairement dans son nom\u00a0: REM<\/strong>ote CO<\/strong>ntrol & S<\/strong>urveillance (Acc\u00e8s \u00e0 distance et surveillance). En d\u2019autres termes, Remcos permet aux cybercriminels d\u2019observer toutes les actions de l\u2019utilisateur et de contr\u00f4ler pleinement le syst\u00e8me infect\u00e9.<\/p>\n

    \u00a0<\/p>\n

    Comment prot\u00e9ger vos portefeuilles de cryptomonnaie<\/h2>\n

    Les cryptomonnaies ne cessent d\u2019attirer les cybercriminels, et les investisseurs en cryptomonnaie doivent bien r\u00e9fl\u00e9chir \u00e0 la s\u00e9curit\u00e9. D\u2019ailleurs, nous vous conseillons de lire l\u2019article que nous avons r\u00e9cemment publi\u00e9\u00a0: \u00ab\u00a0Comment prot\u00e9ger votre cryptomonnaie : 4 conseils de s\u00e9curit\u00e9<\/a>\u00ab\u00a0. D\u2019autre part, voici un r\u00e9sum\u00e9 des points essentiels\u00a0:<\/p>\n