Les criminels se font passer pour (s’ouvre dans un nouvel onglet) Atomic Wallet pour essayer de distribuer le malware Mars Stealer, ont averti les chercheurs.
Atomic Wallet est l’un des portefeuilles de crypto-monnaie les plus populaires (s’ouvre dans un nouvel onglet) qui, en plus de pouvoir stocker les jetons numériques des gens, agit également comme un échange, permettant aux utilisateurs d’échanger entre différents types de crypto-monnaies. La version Android compte à elle seule plus d’un million d’utilisateurs.
Mais ce n’est pas la version Android qui est attaquée ici, mais plutôt la version Windows, en tant que chercheur de logiciels malveillants du nom de Dee, a découvert un faux site Web Atomic Wallet qui, bien qu’il ne ressemble pas exactement au site légitime, utilise toujours les logos officiels, les thèmes, les images marketing et la structure de l’entreprise. Les visiteurs peuvent également trouver des adresses e-mail, la section FAQ et un formulaire de contact.
Fausse application Windows
Mais surtout, ils trouveront trois options de téléchargement – iOS, Android et Windows. Le bouton iOS ne fait rien, tandis que le bouton Android redirige vers l’application Play Store légitime, probablement pour inciter les gens à faire confiance au site. Enfin, le bouton Windows déclenche le téléchargement d’un fichier nommé « Atomic Wallet.zip », qui contient le dropper Mars Stealer.
Ceux qui ont déjà visité le site officiel ne seront pas dupes de cet imposteur, mais ceux qui ne connaissent pas la présentation Internet officielle d’Atomic Wallet le pourraient très bien.
Ce n’est pas si difficile de se retrouver sur le faux site Web aussi. Les cybercriminels déploient toute une gamme de tactiques, allant des campagnes publicitaires sur les réseaux sociaux aux attaques d’ingénierie sociale, en passant par l’empoisonnement SEO et le spam par e-mail à l’ancienne. (s’ouvre dans un nouvel onglet).
Mars Stealer est un malware infostealer classique. Une fois qu’il atterrit sur un point de terminaison, il recherchera les informations d’identification enregistrées dans les navigateurs, ainsi que les extensions de crypto-monnaie, les portefeuilles et les plugins d’authentification à deux facteurs. Au moment de mettre sous presse, le site est toujours en ligne, affirme la publication.
Pour rester en sécurité, vérifiez toujours que vous téléchargez à partir de la source officielle, ce que vous pouvez faire en naviguant directement sur le site Web, plutôt qu’en cliquant sur des liens dans des e-mails, des campagnes publicitaires ou des messages directs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)