Des pirates utilisent le compte Telegram « Smokes Night » pour diffuser l’infostealer malveillant Echelon, qui vole les informations d’identification de wallet crypto et des informations d’authentification de comptes crypto.
Une attaque industrialisée
Des attaquants ciblent les portefeuilles de crypto-monnaies des utilisateurs de Telegram avec l’infostealer Echelon, dans le but d’escroquer les nouveaux utilisateurs ou les utilisateurs peu méfiants d’un canal de discussion sur les crypto-monnaies depuis la plateforme de messagerie Telegram.
Les chercheurs de l’unité d’analyse des menaces de la Division sept de SafeGuard Cyber ont détecté un échantillon d’Echelon posté sur un canal Telegram consacré aux crypto-monnaies en octobre.
Le malware utilisé dans la campagne vise à voler les informations d’identification de plusieurs plateformes de messagerie et de partage de fichiers, notamment Discord, Edge, FileZilla, OpenVPN, Outlook et même Telegram, ainsi que d’un certain nombre de portefeuilles de crypto-monnaies, notamment AtomicWallet, BitcoinCore, ByteCoin, Exodus, Jaxx et Monero.
Sur la base de l’analyse du malware et de la manière dont il a été posté, SafeGuard Cyber pense qu’il ne faisait pas partie d’une campagne coordonnée et qu’il ciblait simplement les nouveaux utilisateurs ou des utilisateurs naïfs.
Division 7 – SafeGuard
Les attaquants ont utilisé le compte « Smokes Night » pour diffuser Echelon sur des canaux Telegram, mais le succès de cette opération n’est pas clair, selon les chercheurs. « Le message ne semblait pas être une réponse à l’un des messages environnants sur le canal« , ont-ils écrit.
Les autres utilisateurs des channels concernés n’ont rien remarqué de suspect et n’ont pas réagi au message, ont-ils ajouté. Cependant, cela ne signifie pas que le malware n’a pas atteint les appareils des utilisateurs.
Nous n’avons vu personne répondre à ‘Smokes Night’ ou se plaindre du fichier, bien que cela ne prouve pas que les utilisateurs du canal n’ont pas été infectés.
L’application de messagerie Telegram est en effet devenue un foyer d’activité pour les cybercriminels, qui ont tiré parti de sa popularité et de sa large surface d’attaque en utilisant des logiciels malveillants.
Analyse du malware
Les attaquants ont livré Echelon via un fichier compressé .RAR intitulé « present).rar » qui comprenait trois fichiers : « pass – 123.txt », un document texte bénin contenant un mot de passe ; « DotNetZip.dll« , une bibliothèque de classes non malveillante et un ensemble d’outils pour manipuler les fichiers .ZIP ; et « Present.exe« , l’exécutable malveillant du voleur d’informations d’identification Echelon.
La charge utile, écrite en .NET, comportait également plusieurs caractéristiques qui la rendaient difficile à détecter ou à analyser, notamment deux fonctions anti-débogage qui mettent immédiatement fin au processus si un débogueur ou d’autres outils d’analyse de logiciels malveillants sont détectés, et l’obfuscation à l’aide de l’outil open-source ConfuserEx.
Les chercheurs ont finalement réussi à désobfusquer le code (le rendre lisible) et à analyser l’échantillon d’Echelon fourni aux utilisateurs des canaux Telegram. Ils ont découvert qu’il contient une détection de domaine, ce qui signifie que l’échantillon tentera également de voler des données concernant tout domaine que la victime a visité, écrivent les chercheurs. Une liste complète des plateformes que l’échantillon d’Echelon a tenté de cibler est incluse dans le rapport.
Parmi les autres caractéristiques du malware, citons l’empreinte digitale de l’ordinateur et la possibilité de faire une capture d’écran de la machine de la victime. L’échantillon d’Echelon extrait de la campagne envoie des informations d’identification, d’autres données volées et des captures d’écran à un serveur de commande et de contrôle à l’aide d’un fichier .ZIP compressé.
Heureusement, Windows Defender détecte et supprime l’échantillon d’exécutable malveillant Present.exe et le signale comme « #LowFI:HookwowLow », ce qui atténue les dommages potentiels d’Echelon pour les utilisateurs ayant installé le logiciel antivirus.
- Bitcoin hardware wallet (portefeuille matériel) - 15 janvier 2024
- Acheter Bitcoin avec Paypal - 15 janvier 2024
- Conseils pour commencer la crypto en 2024 - 15 janvier 2024
