Menace de sécurité : escroquerie à la cryptomonnaie déguisée en outil de trading
Les chercheurs en cybersécurité ont découvert un nouveau package Python malveillant qui se fait passer pour un outil de trading de cryptomonnaie, mais qui cache des fonctionnalités conçues pour voler des données sensibles et vider les actifs des portefeuilles de crypto des victimes.
Le package, nommé « CryptoAITools », aurait été distribué via Python Package Index (PyPI) et de faux dépôts GitHub. Il a été téléchargé plus de 1 300 fois avant d’être retiré de PyPI.
Le malware s’est activé automatiquement lors de l’installation, ciblant à la fois les systèmes d’exploitation Windows et macOS. Une interface utilisateur graphique trompeuse a été utilisée pour distraire les victimes pendant que le malware effectuait ses activités malveillantes en arrière-plan.
Propagation du malware
Le package est conçu pour déclencher son comportement malveillant immédiatement après l’installation en injectant du code dans son fichier « __init__.py » qui détermine d’abord si le système cible est Windows ou macOS afin d’exécuter la version appropriée du malware.
À l’intérieur du code se trouve une fonctionnalité auxiliaire chargée de télécharger et d’exécuter des charges utiles supplémentaires, déclenchant ainsi un processus d’infection en plusieurs étapes.
Les charges utiles sont téléchargées à partir d’un faux site web (« coinsw[.]app ») qui propose un service de bot de trading de cryptomonnaie, mais qui est en fait une tentative de donner au domaine une apparence de légitimité si un développeur décide de s’y rendre directement sur un navigateur web.
Vol de données et extension des capacités
Cette approche permet non seulement à l’acteur de la menace d’éviter la détection, mais lui permet également d’étendre les capacités du malware à volonté en modifiant simplement les charges utiles hébergées sur le site web au look légitime.
Une caractéristique notable du processus d’infection est l’incorporation d’un composant GUI qui sert à distraire les victimes par le biais d’un faux processus d’installation tandis que le malware collecte secrètement des données sensibles à partir des systèmes.
Des conséquences graves pour la communauté de la cryptomonnaie
Le malware CryptoAITools mène une opération extensive de vol de données, ciblant une large gamme d’informations sensibles sur le système infecté. L’objectif principal est de collecter des données pouvant aider l’attaquant à voler des actifs de cryptomonnaie.
Checkmarx a également découvert que les opérateurs distribuent le même malware stealer à travers un dépôt GitHub nommé Meme Token Hunter Bot, qui prétend être « un bot de trading alimenté par l’IA qui répertorie tous les jetons de meme sur le réseau Solana et effectue des transactions en temps réel une fois qu’ils sont jugés sûrs. »
Cela indique que la campagne cible également les utilisateurs de cryptomonnaie qui choisissent de cloner et d’exécuter le code directement depuis GitHub.
Checkmarx a souligné que « cette approche multi-plateforme permet à l’attaquant de jeter un large filet, atteignant potentiellement des victimes qui pourraient être méfiantes sur une plateforme mais en confiance sur une autre. »
La campagne de malware CryptoAITools a des conséquences graves pour les victimes et la communauté de la cryptomonnaie en général. Les utilisateurs qui ont étoilé ou forké le dépôt malveillant « Meme-Token-Hunter-Bot » sont des victimes potentielles, étendant significativement la portée de l’attaque.
Source : thehackernews.com