© Natee Meepian / Shutterstock
© Natee Meepian / Shutterstock

Une vaste campagne malveillante fait la promotion de faux sites WhatsApp et Telegram pour infecter les appareils sous Android et Windows.

Les chercheurs de la société spécialisée en cybersécurité ESET ont identifié des dizaines de sites web se faisant passer pour les deux services de messagerie instantanée.

Les portefeuilles crypto dans le viseur

Ces copies proposent de télécharger ou d'utiliser une fausse application WhatsApp ou Telegram, généralement sur les systèmes d'exploitation Android et Windows. La plupart de ces applications hébergent un malware de type clipper, capable de voler ou de modifier le contenu du presse-papiers.

Une autre fonctionnalité du logiciel malveillant en question est le recours à la reconnaissance optique de caractères, qui permet d'interpréter le texte de captures d'écran enregistrées en local sur son terminal. Cette capacité lui permet de subtiliser des identifiants apparaissant sur un screenshot, une technique (extrêmement peu sécurisée et que nous ne recommandons pas) utilisée par certains utilisateurs pour garder leurs informations de connexion à portée de main.

L'objectif principal de cette campagne est de cibler les portefeuilles de crypto-monnaie des victimes. Certaines versions du malware parviennent à modifier l'adresse d'un portefeuille crypto, auquel elles ont pu accéder en récupérant les phrases de récupération conservées sur le mobile par l'intermédiaire de captures d'écran.

Des sites promus par des vidéos YouTube et Google Ads

Sur Windows, des variantes de l'attaque consistent à utiliser un cheval de Troie pour obtenir un accès à distance de l'appareil et voler les crypto-monnaies conservées dans des portefeuilles installés sur la machine.

Un autre type de malware va espionner les conversations Telegram pour repérer des messages relatifs à la crypto-monnaie. Quand un mot-clé est reconnu par le script malveillant, celui-ci va envoyer le message complet dans lequel il apparaît au serveur des pirates, qui espèrent alors obtenir des identifiants.

Les faux sites WhatsApp et Telegram sont distribués par des chaînes YouTube frauduleuses qui redirigent les utilisateurs vers ces copies. Les vidéos sont elles-mêmes mises en avant sur les moteurs de recherche grâce à Google Ads. Les cibles principales semblent pour l'instant être chinoises, mais la prudence est de mise : l'Europe n'est pas à l'abri d'une attaque de ce genre.

Telegram
  • Fonctions sociales
  • Nombreuses options de personnalisation
  • Les appels vidéo à 30 intervenants
8 / 10

Source : TheHackerNews