Découverte de Satacom, la campagne qui vole des crypto-monnaies

Kaspersky a annoncé avoir découvert Satacom, une campagne qui utilise une extension malveillante dans les navigateurs Chrome, Brave et Opera pour voler des crypto-monnaies. Près de 30 000 utilisateurs au cours des deux derniers mois ont risqué d’être attaqués. Les assaillants ont mené une série d’opérations malveillant ppour empêcher la détection de l’extension pendant que les utilisateurs naviguent sur les sites d’échange de crypto-monnaie concernés, notamment Coinbase et Binance. De plus, l’extension permet aux acteurs de la menace de masquer toutes les notifications de transaction réussies, qui sont envoyées aux victimes à partir de ces sites. Le rapport détaillé de la campagne est disponible sur Liste sécurisée.

Comment ça fonctionne

La campagne est liée au Satacom Downloader, une famille de logiciels malveillants actifs depuis 2019 et principalement distribués via des publicités malveillantes sur des sites tiers. Des liens ou des publicités malveillants redirigent les utilisateurs vers de faux services de partage de fichiers et d’autres pages permettant de télécharger une archive contenant le Satacom Downloader. Dans ce cas précis, l’extension malveillante est téléchargée. La dernière campagne installe une extension de navigateur qui vole des crypto-monnaies et cache son activité

Crypto-monnaies à risque, campagne Satacom découverte

Le but de la campagne est de voler le bitcoin (BTC) des comptes des victimes en effectuant des injections Web sur des sites de crypto-monnaie spécifiques. Cependant, les logiciels malveillants peuvent facilement être modifié pour attaquer d’autres crypto-monnaies. En fait, il installe une extension pour les navigateurs basés sur Chromium – tels que Chrome, Brave et Opera – et cible les utilisateurs individuels qui possèdent des crypto-monnaies dans le monde entier. Selon la télémétrie de Kaspersky, entre avril et mai, près de 30 000 utilisateurs risquaient d’être victimes de la campagne. Les pays les plus touchés au cours des deux derniers mois ont été le Brésil, le Mexique, l’Algérie, la Turquie, l’Inde, le Vietnam et l’Indonésie.

Pas seulement les vols de crypto-monnaie

L’extension malveillante modifie les navigateurs pendant que l’utilisateur navigue sur les sites d’échange de crypto-monnaie. La campagne affecte les utilisateurs de Coinbase, Bybit, Kucoin, Huobi et Binance. En plus de voler des crypto-monnaies, l’extension effectue des actions supplémentaires pour masquer son activité principale, telles que le masquage des e-mails de confirmation de transaction et la modification des fils de discussion existants pour créer de faux fils qui ressemblent aux vrais.

Comment l’infection se propage

Dans cette campagne, les acteurs de la menace n’ont pas besoin de trouver des moyens d’accéder aux magasins d’extension officiels, car ils utilisent le Satacom Downloader. L’infection commence par un fichier ZIP, téléchargé à partir d’un site qui simule des portails logiciels, afin de permettre à l’utilisateur de télécharger gratuitement le logiciel souhaité (souvent cracké). Satacom généralement télécharger divers fichiers binaires sur l’ordinateur de la victime. Dans ce cas, les chercheurs de Kaspersky ont découvert que c’était le script PowerShell qui avait installé l’extension malveillante dans le navigateur.

Découverte de Satacom, la campagne qui vole des crypto-monnaies

Par la suite, une série d’actions malveillantes permet à l’extension de fonctionner paisiblependant que l’utilisateur navigue sur Internet. En conséquence, les acteurs de la menace sont en mesure de transférer le BTC des portefeuilles des victimes vers le leur grâce à l’utilisation d’injections Web.

Comptes chèques

Haim Zigel, analyste des logiciels malveillants chez Kaspersky
Les cybercriminels ont amélioré l’extension en ajoutant la possibilité de la contrôler via des modifications de script. Cela signifie qu’ils peuvent facilement commencer à cibler d’autres crypto-monnaies. De plus, comme l’extension est basée sur un navigateur, elle peut affecter les plates-formes Windows, Linux et macOS. Par mesure de précaution, il est conseillé aux utilisateurs de vérifier régulièrement leurs comptes pour détecter toute activité suspecte et d’utiliser des solutions de sécurité réputées pour se protéger contre de telles menaces.

Recommandations de Kaspersky

Pour maximiser les avantages de l’utilisation des crypto-monnaies en toute sécurité :

• Méfiez-vous des escroqueries par hameçonnage, car les escrocs utilisent des e-mails d’hameçonnage pour inciter les utilisateurs à révéler leurs identifiants de connexion ou leurs clés privées. Vérifiez toujours l’URL du site et ne cliquez pas sur les liens suspects.
• Non partager sans les clés privées qui ouvrent le portefeuille de crypto-monnaie.
• Soyez informé des dernières menaces et des meilleures pratiques pour protéger vos crypto-monnaies. Plus vous serez informé sur la sécurité, plus vous serez en mesure de prévenir toute cyberattaque.

Découverte Satacom

• Avant d’investir dans une crypto-monnaie, vous devez faire des recherches approfondies sur le projet et l’équipe derrière celui-ci. Contrôler le site Web du projet, le livre blanc et les réseaux sociaux pour s’assurer qu’il est légitime.
• Utilisez des solutions de sécurité qui protègent les appareils contre tout type de menace. Kaspersky Premium empêche la fraude connue et inconnue des crypto-monnaies ainsi que l’utilisation non autorisée de la puissance de traitement informatique pour miner les crypto-monnaies.