Les utilisateurs et les passionnés de crypto-monnaie sont ciblés par des acteurs malveillants avec de fausses applications de portefeuille qui volent leurs précieux jetons, ont découvert des chercheurs.
Les chercheurs en cybersécurité de Confiant ont découvert que certains des portefeuilles de crypto-monnaie les plus populaires au monde sont usurpés par des clones (s’ouvre dans un nouvel onglet) qui transportent des logiciels malveillants.
Les produits Coinbase, MetaMask, TokenPocket et imToken sont parmi ceux qui sont touchés, les acteurs de la menace ayant créé des applications apparemment identiques aux applications légitimes, mais avec une différence clé : ils portent une porte dérobée capable de voler les phrases de sécurité des gens. La phrase de sécurité, ou clé secrète, est une chaîne de mots utilisée pour récupérer ou charger un portefeuille existant dans la nouvelle application.
Des dizaines de millions de cibles potentielles
Les gens l’utilisent lorsqu’ils oublient leurs mots de passe, installent l’application sur un nouveau terminal ou doivent charger un portefeuille sur un autre appareil.
Étant malveillantes, ces applications sont introuvables sur les référentiels d’applications officiels, tels que le Play Store ou l’App Store. Au lieu de cela, les acteurs de la menace s’appuient sur la distribution de l’application via des pages Web, qu’ils promeuvent par le biais de techniques de référencement noir, d’empoisonnement SEO, de marketing sur les réseaux sociaux, de promotions de forums, de publicités malveillantes, etc.
Les chercheurs n’ont pas pu dire combien de personnes ont été amenées à télécharger ces applications, mais l’application de Coinbase compte à elle seule plus de 10 millions de téléchargements, uniquement sur Android.
Quant aux victimes, les assaillants semblent viser majoritairement la population asiatique. Les résultats de recherche du moteur Baidu ont été les plus touchés par la campagne, car ils ont dirigé des « quantités massives » de trafic (s’ouvre dans un nouvel onglet) aux sites qui hébergent les applications malveillantes.
Les attaquants eux-mêmes semblent également être asiatiques. Confiant les appelle SeaFlower et pense qu’ils sont chinois en raison d’indices subtils comme la langue des commentaires dans le code source, l’emplacement de l’infrastructure et les cadres et services utilisés.
La campagne semble être active depuis au moins mars de cette année, déclare Confiant, ajoutant qu’il s’agit de « la menace la plus sophistiquée sur le plan technique ciblant les utilisateurs du Web3, juste après le tristement célèbre groupe Lazarus ».
Via : BleepingComputer (s’ouvre dans un nouvel onglet)