Explosion De Bitcoin Avec Calculatrice
Image : Prime91/Adobe Stock

Un nouveau voleur baptisé PennyWise par ses développeurs est apparu récemment, exposé par Cyble Research Labs. Les chercheurs ont observé plusieurs échantillons du logiciel malveillant dans la nature, ce qui en fait une menace active. La menace se concentre sur le vol de données de navigateur sensibles et de portefeuilles de crypto-monnaie, et elle survient alors que le Pentagone a soulevé des inquiétudes concernant la blockchain.

Table des matières hide
1 Un mode de diffusion inhabituel : YouTube
2 Caractéristiques des logiciels malveillants PennyWise
2.1 Couverture de sécurité à lire absolument
3 Comment PennyWise vole des données
4 Comment se protéger de cette menace

Un mode de diffusion inhabituel : YouTube

Le malware prétend être une application gratuite de minage de Bitcoin, qui fait de la publicité et peut être téléchargée via une vidéo Youtube (Figure A).

Figure A

Pennywise Figa
Image : Cyble. Vidéo Youtube Diffusant Le Malware Pennywise.

Alors que cette capture d’écran montre un nombre très limité de visiteurs, Cyble a observé plus de 80 vidéos sur YouTube pour une infection massive, toutes stockées sur la chaîne YouTube de l’acteur menaçant.

Lorsque les utilisateurs regardent la vidéo, ils sont incités à télécharger un fichier d’archive protégé par mot de passe, qui contient le logiciel d’extraction de Bitcoin annoncé, mais qui est en fait le malware PennyWise.

Publicité

VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)

L’utilisation d’une archive protégée par un mot de passe est une méthode d’ingénierie sociale connue pour renforcer la confiance, car les utilisateurs ont tendance à être moins méfiants lorsque le contenu est protégé par un mot de passe.

Dans une tentative supplémentaire de paraître plus légitime, l’auteur de la menace ajoute un lien vers VirusTotal qui affiche les résultats antivirus pour un fichier propre qui n’est pas le logiciel malveillant. L’auteur de la menace mentionne également que l’utilisateur devra peut-être désactiver son antivirus s’il n’est pas autorisé à télécharger le fichier, mais qu’il est totalement sûr (Figure B).

Figure B

Pennywise Figb
Image : Cyble. Les Liens Vers Le Fichier Malveillant Sont Affichés Avec Un Lien Virustotal Non Lié Et Un Commentaire Pour Désactiver L’antivirus.

Le fichier d’archive contient un programme d’installation pour PennyWise, qui l’exécute avant que le logiciel malveillant ne commence à communiquer avec son serveur de commande et de contrôle.

Caractéristiques des logiciels malveillants PennyWise

Le logiciel malveillant est masqué par un outil de cryptage inconnu et utilise le multithreading pour être plus efficace dans le vol de données.

Une fois exécuté, le logiciel malveillant obtient le chemin de plusieurs navigateurs différents qu’il cible :

  • Plus de 30 navigateurs basés sur Chrome
  • Plus de 5 navigateurs basés sur Mozilla
  • Opéra
  • Bord Microsoft

Le logiciel malveillant récupère ensuite le nom d’utilisateur, le nom de la machine, la langue du système et le fuseau horaire du système d’exploitation des victimes. Le fuseau horaire est converti en heure standard russe.

Une autre caractéristique géographique survient lorsque le malware essaie d’identifier le pays de la victime. Il arrête complètement toutes les opérations si le pays est l’un des suivants :

  • Russie
  • Ukraine
  • Biélorussie
  • Kazakhstan

Cela pourrait indiquer que l’auteur de la menace pourrait vouloir éviter les forces de l’ordre dans ces pays particuliers.

De plus, le logiciel malveillant récupère le nom du pilote graphique et du processeur et enregistre le tout dans un dossier caché du répertoire AppData\Local.

Une fois cela fait, le logiciel malveillant tente de déterminer dans quel type d’environnement il s’exécute en utilisant des astuces d’anti-analyse et d’anti-détection. S’il s’exécute dans une machine virtuelle, il s’arrête.

D’autres vérifications sont effectuées pour déterminer quel antivirus ou sandbox pourrait être en cours d’exécution, et le logiciel malveillant vérifie une liste prédéfinie de noms de processus liés à des outils d’analyse tels que wireshark, fiddler et tcpview.

Comment PennyWise vole des données

Une fois que le logiciel malveillant a effectué toutes les vérifications, il commence le multithreading pour plus d’efficacité. Plus de 10 threads sont créés, chacun en charge d’une opération différente.

Le logiciel malveillant ne vole que les fichiers RTF, DOC, DOCX, TXT et JSON de moins de 20 Ko. Les fichiers sont enregistrés dans un dossier « grabber » dans l’infrastructure de dossiers cachés créée par le malware.

Le logiciel malveillant répertorie également tous les logiciels installés sur le système.

Toutes les données connues du navigateur sont volées si le logiciel malveillant détecte un navigateur qu’il connaît, y compris les identifiants de connexion, les cookies, les clés de cryptage et les mots de passe principaux.

Les jetons Discord et les sessions Telegram sont également volés, et une capture d’écran de l’écran de l’utilisateur est prise.

Le registre est ensuite interrogé dans une chasse aux portefeuilles de crypto-monnaie tels que Litecoin, Dash et Bitcoin avant de cibler les portefeuilles de stockage à froid tels que Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic Wallet, Guarda et Coinomi. Les fichiers de portefeuille sont volés dans une liste de dossiers prédéfinis. Les extensions de crypto-monnaie dans les navigateurs basés sur Chrome sont également ciblées.

Une fois que toute la collecte est terminée, elle est compressée et envoyée à un serveur contrôlé par l’attaquant avant d’être supprimée de l’ordinateur.

Comment se protéger de cette menace

Les logiciels ne doivent jamais être téléchargés à partir de sources non vérifiées ou non fiables. Les logiciels doivent toujours être téléchargés à partir de sites Web légitimes après une vérification minutieuse de la part de l’utilisateur.

Les utilisateurs ne doivent également jamais désactiver leur antivirus dans le but d’installer une nouvelle application. Une détection malveillante de l’antivirus devrait être un avertissement sérieux pour l’utilisateur. L’antivirus ou le produit de sécurité exécuté sur l’ordinateur doit toujours être mis à jour avec tous les autres logiciels et le système d’exploitation lui-même.

Le stockage des informations d’identification doit être évité dans le navigateur. Au lieu de cela, un gestionnaire de mots de passe doit être utilisé, avec un mot de passe différent pour chaque site Web ou service en ligne. L’authentification multifacteur doit être déployée lorsque cela est possible afin que lorsqu’un cybercriminel est en possession d’informations d’identification valides, il ne puisse pas les utiliser pour utiliser un service en ligne.

Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Rate this post
Publicité
Article précédentTomodachi Game Finale obtient un aperçu
Article suivantMoney In The Back 2022 Résultats, révision et mises à jour des matchs
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici