Les utilisateurs et les passionnés de crypto-monnaie sont ciblés par des acteurs malveillants avec de fausses applications de portefeuille qui volent leurs précieux jetons, ont découvert des chercheurs.
Des chercheurs de confiance en cybersécurité ont découvert que certains des portefeuilles de crypto-monnaie les plus populaires au monde sont contrefaits par des clones (ouvre dans un nouvel onglet) contenant des logiciels malveillants.
Les produits Coinbase, MetaMask, TokenPocket et imToken sont parmi ceux qui sont touchés, et les acteurs de la menace ont créé des applications qui semblent identiques aux applications légitimes, mais avec une différence clé : elles ont une porte dérobée capable de voler les mots de passe des gens. La phrase secrète, ou clé secrète, est une chaîne de mots utilisée pour récupérer ou charger un portefeuille existant dans la nouvelle application.
Des dizaines de millions de cibles potentielles
Les gens l'utilisent lorsqu'ils oublient leurs mots de passe, installent l'application sur un nouvel appareil ou doivent charger un portefeuille sur un autre appareil.
Étant malveillantes, ces applications sont introuvables dans les référentiels d'applications officiels tels que Play Store ou App Store. Au lieu de cela, les acteurs de la menace s'appuient sur la distribution de l'application via des pages Web, qu'ils promeuvent par le biais de techniques de référencement noir, d'empoisonnement SEO, de marketing sur les réseaux sociaux, de promotions sur les forums, de publicités malveillantes, etc.
Les chercheurs n'ont pas pu dire combien de personnes ont été amenées à télécharger ces applications, mais l'application Coinbase compte à elle seule plus de 10 millions de téléchargements sur Android uniquement.
Quant aux victimes, les assaillants semblent principalement cibler la population asiatique. Les résultats du moteur de recherche de Baidu ont été les plus durement touchés par la campagne, dirigeant des « quantités massives » de trafic (s'ouvre dans un nouvel onglet) vers des sites hébergeant les applications malveillantes.
Les agresseurs eux-mêmes semblent également être asiatiques. Confident les appelle SeaFlower et pense qu'ils sont chinois sur la base d'indices subtils tels que la langue des commentaires dans le code source, l'emplacement de l'infrastructure et les cadres et services utilisés.
La campagne semble être active depuis au moins mars de cette année, dit Confident, ajoutant qu'il s'agit de « la menace la plus techniquement sophistiquée ciblant les utilisateurs du Web3, juste derrière le tristement célèbre groupe Lazarus ».
Via : BleepingComputer (Ouvre dans un nouvel onglet)