Les cybercriminels utilisent les annonces Google pour diriger les victimes sans méfiance vers des sites Web d’hameçonnage qui imiter les sites Web des éditeurs de logiciels populaires, Cyble Research & Intelligence Labs a révélé jeudi.
Cela fait partie d’une astuce élaborée pour amener les victimes à télécharger une nouvelle souche de malware, appelée « Rhadamanthys Stealer », qui est cachée dans un logiciel légitime. Rhadamanthys se propage également par le biais de spams contenant un fichier PDF malveillant.
Une fois sur les appareils des victimes, le logiciel malveillant cible les portefeuilles cryptographiques et collecte de grandes quantités de données auprès des victimes. Ces données sont envoyées subrepticement à un serveur contrôlé par les acteurs de la menace.
Les voleurs d’informations polyvalents, comme Rhadamanthys, ne sont pas nouveaux, mais ils semblent devenir de plus en plus populaires. En avril 2022, l’équipe de Cyware Threat Intelligence a découvert un voleur d’informations polyvalent, nommé FFDroider, qui était utilisé pour détourner les comptes de réseaux sociaux des victimes.
Ce qui distingue Rhadamanthys, ce sont les stratagèmes que les cybercriminels utilisent pour diffuser le logiciel malveillant. Selon les chercheurs de Cyble, le logiciel malveillant est conçu pour échapper à la détection.
Sites d’hameçonnage usurpant l’identité de sites Web réputés
L’une des façons dont les cybercriminels à l’origine de Rhadamanthys propagent le logiciel malveillant consiste à créer des sites de phishing « convaincants » qui usurpent les sites Web d’éditeurs de logiciels populaires tels que Zoom Bluestacks, Notepad++ et AnyDesk.
Ces sites douteux apparaissent sur Google Ads. Lorsque les victimes visitent le site et essaient d’installer l’application, Rhadamanthys est secrètement installé sur leur système.
Cyble a découvert plusieurs domaines que les pirates utilisent pour propager Rhadamanthys. Ils incluent :
- bluestacks-install[.]com
- zoomus-install[.]com
- install-zoom[.]com
- install-anydesk[.]com
- install-anydeslk[.]com
- zoom-meetings-install[.]com
- zoom-meetings-download[.]com
- anydleslk-download[.]com
- zoomvideo-install[.]com
- zoom-video-install[.]com
- istaller-zoom[.]com
- bloc-notes.hasankahrimanoglu[.]com[.]tr
Les acteurs de la menace derrière Rhadamanthys l’ont conçu pour s’assurer qu’une seule copie du voleur d’informations s’exécute à la fois sur le système d’une victime. Le logiciel malveillant vérifie même s’il s’exécute sur une machine virtuelle (VM).
« Cette vérification est conçue pour empêcher la détection et l’analyse du logiciel malveillant dans un environnement virtuel. Si le logiciel malveillant détecte qu’il s’exécute dans un environnement contrôlé, il mettra fin à son exécution », a déclaré Cyble dans un article de blog.
Utilisation du courrier indésirable pour propager des logiciels malveillants
Les cybercriminels propagent Rhadamanthys par le biais d’une pièce jointe PDF dans les spams. La pièce jointe, nommée « Statement.pdf », est présentée comme un document contenant des bons de commande et des factures.
Le spam incite les victimes à ouvrir la pièce jointe malveillante en leur disant : « Efforcez-vous de confirmer l’exactitude du total de la facture et des détails de votre compte bancaire. »
Lorsque les victimes tentent d’ouvrir le PDF, un message apparaît, apparemment de « Adobe Acrobat DC Updater », les invitant à télécharger une mise à jour ou à télécharger le fichier. Si les victimes cliquent sur « Télécharger la mise à jour », un fichier est téléchargé dans le dossier « Téléchargements » de la victime.
Lorsque le fichier est exécuté, il exécute le logiciel malveillant Rhadamanthys, qui vole des informations privées sur l’appareil de la victime.
Le logiciel malveillant Rhadamanthys vole une mine d’informations
Le logiciel malveillant Rhadamanthys peut collecter une grande quantité de données à partir d’un appareil, y compris des informations système telles que le nom de l’ordinateur, les spécifications matérielles, la langue du clavier, le fuseau horaire et d’autres données.
Le logiciel malveillant « interroge également les répertoires des navigateurs installés sur la machine de la victime et recherche des fichiers liés au navigateur tels que l’historique de navigation, les signets, les cookies, les remplissages automatiques, les identifiants de connexion, etc. », a écrit l’équipe Cyble.
Le logiciel malveillant cible divers navigateurs, y compris des navigateurs populaires tels que Microsoft Edge, Google Chrome, Mozilla Firefox, Opera et Brave. Même les navigateurs moins populaires comme CocCoc, Sleipnir et Pale Moon n’échappent pas à la ligne de mire de ce voleur d’informations.
Rhadamanthys vole également des données de portefeuilles cryptographiques. Il s’est avéré qu’il avait une « fonctionnalité spécifique » pour cibler les portefeuilles cryptographiques comme Binance, Zcash, WalletWasabi, Armory, Electron et plusieurs autres. Il peut même balayer les données des extensions de portefeuille crypto populaires comme Exodus Wallet, MetaMask et bien d’autres, a déclaré Cyble.
Ce voleur d’informations s’attaque également à diverses applications telles que les clients FTP populaires, les clients de messagerie, les gestionnaires de mots de passe, les clients VPN, la messagerie instantanée, etc. Il prend également des captures d’écran de la machine de la victime. Toutes ces données sont transmises à un serveur de centre de commande contrôlé par les acteurs de la menace.
Recommandations de sécurité
Cyble a conseillé aux utilisateurs de se méfier des spams et des sites Web suspects. Vérifiez toujours la légitimité des e-mails et des sites Web avant d’ouvrir ou de télécharger quoi que ce soit à partir de ceux-ci, et évitez de télécharger des logiciels piratés. Assurez-vous également que votre système d’exploitation et vos logiciels sont mis à jour avec les derniers correctifs de sécurité.
Cyble recommande en outre d’utiliser des mots de passe forts et d’activer l’authentification multifacteur sur vos comptes.
Les créateurs de Rhadamanthys le mettent à la disposition des cybercriminels en tant que Malware-as-a-Service (MaaS). MaaS est important sur les forums de hackers du dark web où des voleurs comme REDLINE STEALER et RACOONSTEALER peuvent être téléchargés gratuitement.
Arrêter tout voleur d’informations consiste à étouffer le vecteur d’infection initial dans l’œuf. Il est important pour les organisations d’utiliser des produits de sécurité capables de détecter les e-mails et les sites Web d’hameçonnage, a déclaré Cyble.
Nous vous recommandons d’utiliser un bon antivirus. Consultez notre article sur les meilleures solutions antivirus pour nos meilleurs choix.
Toute l’actualité en temps réel, est sur L’Entrepreneur
