Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web rapporte qu’un escroc a causé un dommage de plus de 24 000 $, le nombre de ses victimes ayant dépassé les 10 000 personnes

Le 18 octobre 2018

Les analystes de Doctor Web ont mené une enquête sur les activités d'un escroc qui agissait sur le marché de la crypto-monnaie. Le malfaiteur qui se cachait derrière le pseudo « Investimer » utilisait une large gamme de malwares et une variété de techniques permettant d'obtenir des gains de manière illicite

Cet escroc connu sur Internet sous les noms de Investimer, Hyipblock et Mmpower, utilise un large jeu de Trojans aujourd'hui populaires sur le marché noir, notamment Eredel, AZORult, N0F1L3, Kratos, Kpot, ACRUX, Predator The Thief, Arkei, Pony. L'arsenal de l'attaquant comprend également le backdoor Spy-Agent crée à la base de l'application TeamViewer, les backdoors DarkVNC et HVNC conçus pour accéder à l'ordinateur contaminé via le protocole VNC ainsi que le backdoor créé en utilisant le logiciel RMS. Le malfaiteur utilise activement le downloader Smoke Loader comme il utilisait plus tôt le Loader by Danij et le Trojan miner ayant un module embarqué pour substituer le contenu du presse-papier (clipper). Investimer utilise des serveurs de gestion avec une interface d'administrateur sur les plateformes telles que jino.ru, marosnet.ru et hostlife.net, dont la plupart d'entre elles fonctionnent sous la protection du service Cloudflare, afin de dissimuler les vraies adresses IP des ressources réseau utilisées.

Investimer est spécialisé dans la fraude avec des crypto-monnaies, surtout avec Dogecoin. Pour mener à bien ses activités, il a créé un grand nombre de sites de phishing qui répliquent des ressources Internet existantes. L’un d’eux est une fausse bourse de crypto-monnaies nécessitant un programme client pour son utilisation. Mais sous le couvert de cette application, le Trojan Spy-Agent est téléchargé sur l’ordinateur de la victime.

#drweb

#drweb

#drweb

#drweb

Il utilise également un pool de dispositifs conçus pour miner de la crypto-monnaie Dogecoin et qui est soi-disant " loué " à des prix très compétitifs. Ce pool, inexistant en réalité, nécessite également une application client spécialisée qui doit être téléchargée sur l'ordinateur de la victime sous la forme d'une archive protégée par un mot de passe. Cette protection par mot de passe empêche les programmes antivirus d'analyser le contenu de l'archive et de la supprimer au stade du téléchargement. Il est facile à deviner que l'archive cache un Trojan Stealer.

#drweb

Une autre ressource frauduleuse créée par Investimer est dédiée à la crypto-monnaie Etherium. Le criminel propose à ses victimes potentielles une récompense pour les visites de certains sites sur Internet, pour ce faire, elles sont invitées à installer un programme (malveillant) sous couvert d'une application spécialisée. Dans ce cas, le Trojan commence à se télécharger de manière automatique lorsque l'utilisateur consulte le site. L'escroc a laissé quelques faux avis sur le fonctionnement de ce service.

#drweb

#drweb

#drweb

De même, il organise des loteries en ligne qui ont pour prime une certaine somme en Dogecoin. Bien évidemment, les loteries sont organisées de sorte qu'aucun participant ne gagne, c'est l'organisateur seul qui le peut. Au moment de la rédaction de cet article, plus de 5800 utilisateurs ont été enregistrés dans une loterie organisée par Investimer.

#drweb

#drweb

#drweb

#drweb

#drweb

#drweb

Investimer propose également sur un de ses sites une récompense en Dogecoin pour la consultation de pages web affichant des publicités. Ce projet compte plus de 11 000 utilisateurs enregistrés.

#drweb

#drweb

#drweb

#drweb

#drweb

Sous le couvert d'un plugin nécessaire pour le navigateur du participant souhaitant gagner à l'aide du surf sur le Web, un backdoor est téléchargé sur l'ordinateur de la victime du site " partenaire ". Puis il installe un Trojan Stealer sur la machine infectée.

#drweb

Mais Investimer n'oublie pas le phishing traditionnel. Un site web qu'il a créé propose une récompense pour de nouveaux utilisateurs attirés dans le système de paiement Etherium, mais en fait, ce site récolte les données d'authentification saisies lors de l'enregistrement.

#drweb

#drweb

#drweb

En plus des techniques décrites ci-dessus, Investimer a tenté de copier le site officiel cryptobrowser.site. Les créateurs de ce projet original ont mis au point un navigateur spécialisé qui extrait de la crypto-monnaie en tâche de fond lorsque l'utilisateur consulte des pages web. Le site contrefait créé par Investimer n’est néanmoins pas parfait car une partie des éléments graphiques ne s’affiche pas, mais le texte du contrat de licence contient une adresse email appartenant aux vrais développeurs, et le Trojan que la victime reçoit sous la forme d'un navigateur web est téléchargé d'une ressource hébergée sur un autre domaine. L'illustration suivante montre un faux site créé par Investimer (à gauche) en comparaison avec le site original (à droite).

#drweb

Investimer a été vu dans la mise en œuvre d'autres schémas de fraude en ligne et notamment dans des jeux en ligne construits sur le principe de la pyramide financière. Les informations aspirées à l'aide des Trojans Stealers sont utilisées par le criminel pour voler des crypto-monnaies et de l'argent que ses victimes gagnent dans les portes-monnaies des systèmes de paiement en ligne. Il est à noter que dans le panneau d'administration via lequel Investimer gère l'accès aux machines piratées, il ajoute à chaque entrée sur ses victimes des commentaires obscènes impossibles de citer pour des raisons évidentes.

#drweb

Dans l'ensemble, le schéma utilisé par ce criminel est le suivant. Une victime potentielle est attirée par différentes techniques sur un site frauduleux où elle doit télécharger un programme client pour pouvoir utiliser les fonctionnalités du site. Mais à la place d'un programme client, la victime télécharge un Trojan qui installe sur l'ordinateur d'autres malwares sur commande du pirate. Ces programmes (surtout les chevaux de Troie dits Stealers) volent depuis les ordinateurs contaminés des informations confidentielles qui sont utilisées plus tard pour voler de la crypto-monnaie ainsi que de l'argent que la victime garde dans différents systèmes de paiement électroniques.

Les analystes de Doctor Web estiment que le nombre total d’utilisateurs affectés par les activités illicites d'Investimer dépasse 10 000 personnes. Le dommage causé par ce malfaiteur est estimé à plus de 23 000 dollars américains. Auxquels il faut aouter plus de 182 000 en Dogecoin, l’équivalent de 900 $ au taux de change actuel.

Les adresses de tous les sites créés par Investimer ont été ajoutés à la base de Dr.Web SpIDer Gate, tous les programmes malveillants utilisés dans les schémas mentionnés sont détectés et supprimés par notre antivirus.

Vous pouvez consulter une liste complète des " Indicators of compromise " sur le lien https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.

#crime #cryptomonnaies #mining #fraude

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2018

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg