Posté le juin 15, 2022 à 15:06
DES HACKERS CHINOIS PROPAGENT DES LOGICIELS MALVEILLANTS PAR LE BIAIS DE PORTEFEUILLES WEB3 COMPROMIS
Des chercheurs en sécurité ont découvert une opération de logiciels malveillants à grande échelle qui utilise des applications de porte-monnaie mobiles trojanisées pour les services imToken, TokenPocket, Coinbase et MetaMask.
Les activités des acteurs de la menace ont été découvertes plus tôt en mars de cette année. Les chercheurs de Confiant ont nommé l’activité du logiciel malveillant en tant que groupe SeaFlower, le décrivant comme « la menace la plus techniquement sophistiquée ciblant les utilisateurs Web3 » à l’heure actuelle. La menace du logiciel malveillant est comparée à celle du célèbre Lazarus Group.
Le rapport des chercheurs indique que les applications cryptographiques malveillantes ressemblent aux applications originales, mais qu’elles sont équipées d’une porte dérobée qui vole la phase de sécurité des utilisateurs utilisée pour accéder aux actifs numériques.
Le rapport indique que les hackers à l’origine du logiciel malveillant SeaFlower semblent être chinois d’après certains détails de leur attaque. Les services qu’ils ont utilisés, les cadres, l’emplacement de l’infrastructure et le code source semblent être liés à la Chine.
Les hackers ont utilisé des techniques agressives pour diffuser le logiciel malveillant
Les hackers ont utilisé des méthodes agressives de distribution d’applications pour diffuser l’application trojanisée SeaFlower au plus grand nombre d’utilisateurs possible. Pour ce faire, les hackers ont utilisé des clones de sites Web légitimes, des méthodes d’optimisation des moteurs de recherche (black SEO), ainsi que l’empoisonnement des moteurs de recherche.
En outre, les chercheurs en sécurité pensent que les hackers font la promotion des applications sur les canaux de médias sociaux, la publicité trompeuse et les forums. Cependant, le principal canal de distribution observé par Confiant est celui des services de recherche.
Selon les chercheurs, les résultats de recherche du moteur Baidu sont les plus touchés par les activités de SeaFlower, dirigeant des quantités massives de trafic vers le site malveillant.
Le logiciel malveillant abuse également des appareils iOS. Il utilise des profils provisoires pour charger les applications malveillantes sur l’appareil, contournant ainsi les protections de sécurité. En plus d’être puissante, les chercheurs ont découvert que l’application malveillante utilise une technique d’évasion puissante qui lui permet de ne pas se faire repérer par les systèmes de sécurité.
Les hackers imitent des codes authentiques
Les profils provisoires sont généralement utilisés pour lier les appareils et les développeurs à une équipe de développement autorisée. Ils permettent d’utiliser facilement les appareils pour tester le code des applications, ce qui en fait un outil très puissant pour ajouter des applications malveillantes à un appareil.
Les chercheurs en sécurité ont utilisé la technique d’ingénierie inverse sur l’application pour découvrir comment les auteurs de SeaFlower avaient implanté des portes dérobées. Selon les analystes de Confiant, toutes ces portes dérobées avaient des codes similaires.
La porte dérobée de l’application MetaMask sur iOS est activée lorsque la phrase de démarrage est générée. Elle s’active avant qu’elle ne soit stockée sous une forme cryptée. Cela implique que les hackers peuvent intercepter la phrase de passe lorsqu’ils créent un nouveau portefeuille ou lorsqu’ils veulent ajouter un portefeuille existant à une application récemment installée.
Les hackers utilisent les requêtes POST pour voler les phrases de passe
L’un des principaux rôles du code de backdoor « startupload » est de voler la phrase de démarrage et de l’envoyer à des domaines qui copient ceux d’origine. Par exemple, les hackers ont utilisé la requête POST pour voler les phrases de passe vers ‘trx.lnfura[.]org’. Ceci est utilisé pour usurper l’identité de l’authentique « infura.io ». Ils ont également utilisé ‘metanask[.]cc’ qui agit exactement comme le domaine original de MetaMask.
De plus, la classe qui cache les fonctions est récupérée via l’algorithme d’encodage base64. Elle est chiffrée à l’aide de l’écosystème RSA. Mais les clés sont généralement codées en dur, ce qui signifie que l’analyste pourrait décrypter la porte dérobée, la valider et tester le code à l’exécution.
Les utilisateurs ne devraient installer que des applications de porte-monnaie provenant de plateformes fiables
Le code de la porte dérobée n’était pas aussi soigneusement caché que prévu dans les applications malveillantes de la variante Android.
Par conséquent, les chercheurs ont pu accéder à davantage de fonctions sans trop d’efforts. |L’un des aspects les plus importants de la porte dérobée est l’installation d’un Bundle React Native sur l’instance RCTBridge pour le chargement de JavaScripts. Le directeur des renseignements sur les menaces chez Confiant, Taha Karim, a partagé certaines informations sur la façon dont les acteurs de la menace ont utilisé le logiciel malveillant.
Il a noté que le fait d’installer des bundles natifs est quelque chose que l’on n’a pas vu par le passé dans d’autres activités de piratage. En général, elle se connecte à un métavers lié à l’application native React. Les acteurs de la menace ont passé des années à faire de l’ingénierie inverse de l’application React Native pour comprendre où et comment les bundles sont chargés.
Ils ont inclus des logos pour forcer le backdoor bundle qui peut être chargé au moment de l’exécution tout en l’exécutant par Javascriptcore. Le bundle était crypté et caché dans un fichier dylib, qui est également injecté au moment de l’exécution. Les chercheurs ont demandé aux détenteurs de crypto-monnaies et de portefeuilles de crypto-monnaies de télécharger les applications de portefeuilles uniquement à partir de sites et de plateformes de confiance afin de protéger leurs appareils de ces attaques.
