Un nouveau malware a été découvert qui détourne les comptes de médias sociaux des utilisateurs, vole leurs identifiants de connexion enregistrés et utilise leurs appareils pour exploiter la crypto-monnaie, ont averti les spécialistes.
Des chercheurs de l'équipe Advanced Threat Control (ATC) de Bitdefender ont découvert une nouvelle variété qu'ils ont nommée S1deload Stealer qui cherche à échapper à la détection par les programmes antivirus grâce à une utilisation intensive du chargement latéral de DLL.
Au cours du second semestre de l'année dernière, les pirates à l'origine de la campagne ont réussi à infecter des centaines de terminaux (ouvre un nouvel onglet) avec ce nouveau voleur d'informations :
Des centaines d'appareils infectés
"Entre juillet et décembre XNUMX, les produits Bitdefender ont signalé plus de XNUMX utilisateurs uniques infectés par ce malware", a déclaré le chercheur Bitdefender Dávid Ács.
Afin d'infecter les appareils, les victimes doivent télécharger et exécuter elles-mêmes le logiciel malveillant. Les attaquants ont créé plusieurs fichiers (fichiers .zip) qui semblaient contenir du contenu réservé aux adultes. Ceux qui téléchargent et exécutent ce contenu n'obtiendront pas ce qu'ils cherchaient, mais obtiendront à la place l'Infostealer, capable de faire plusieurs choses :
Tout d'abord, vous pouvez télécharger et exécuter un navigateur Google Chrome sans tête qui s'exécute en arrière-plan et ouvre différentes vidéos YouTube et publications Facebook pour augmenter les vues. Vous pouvez télécharger et exécuter un voleur d'informations qui décrypte et filtre les identifiants de connexion enregistrés dans les navigateurs, tels que les cookies de session.
Si vous tombez sur un compte Facebook, il essaiera de l'examiner, pour voir si vous gérez des pages ou des ensembles Facebook, payez pour des publicités sur la plateforme ou êtes lié à un compte de chef d'entreprise. De toute évidence, chacune de ces choses rendrait ce compte plus précieux.
Enfin, vous pouvez télécharger, installer et exécuter un mineur de crypto-monnaie, exploitant la crypto-monnaie BEAM pour les attaquants. BEAM se décrit comme une "plate-forme de crypto-monnaie et DeFi restreinte".
"Le composant de vol que nous avons observé dans la nature vole les informations d'identification stockées dans le navigateur de la victime, les exfiltrant vers le serveur de l'auteur du logiciel malveillant", a déclaré Ács. "Le créateur du malware utilise les informations d'identification nouvellement obtenues pour spammer les réseaux sociaux et infecter davantage de machines, créant ainsi une boucle de rétroaction."
Via : BleepingComputer (s'ouvre dans un nouvel onglet)