S'inscrire

Cybersécurité - 03/02/2025

Crazy Evil Gang cible les crypto-monnaies avec les logiciels malveillants StealC, AMOS et Angel Drainer

Hacker utilisant un outil de cybersécurité

Un gang de cybercriminels russophone connu sous le nom de Crazy Evil a été lié à plus de 10 escroqueries actives sur les réseaux sociaux qui utilisent un large éventail de leurres personnalisés pour tromper les victimes et les inciter à installer des logiciels malveillants tels que StealC , Atomic macOS Stealer (alias AMOS ) et Angel Drainer .

« Spécialisé dans la fraude d’identité, le vol de cryptomonnaie et les logiciels malveillants de vol d’informations, Crazy Evil emploie un réseau bien coordonné de trafiquants – des experts en ingénierie sociale chargés de rediriger le trafic légitime vers des pages de phishing malveillantes », a déclaré Insikt Group de Recorded Future dans une analyse.

L’utilisation d’un groupe de cryptoscams à arsenal de logiciels malveillants diversifié est un signe que l’acteur de la menace cible les utilisateurs des systèmes Windows et macOS, ce qui présente un risque pour l’écosystème financier décentralisé.

Crazy Evil est considéré comme actif depuis au moins 2021, fonctionnant principalement comme une équipe de trafiquants chargée de rediriger le trafic légitime vers des pages de destination malveillantes exploitées par d’autres équipes criminelles. Apparemment dirigé par un acteur malveillant connu sur Telegram sous le nom de @AbrahamCrazyEvil, il dessert plus de 4 800 abonnés sur la plateforme de messagerie (@CrazyEvilCorp) au moment de la rédaction de cet article.

« Ils monétisent le trafic vers ces opérateurs de botnet qui ont l’intention de compromettre les utilisateurs soit largement, soit spécifiquement dans une région, ou un système d’exploitation », a déclaré la société française de cybersécurité Sekoia dans un rapport approfondi sur les services de trafiquants en août 2022.

« Le principal défi auquel sont confrontés les trafiquants est donc de générer un trafic de qualité sans bots, non détecté ou analysé par les fournisseurs de sécurité, et éventuellement filtré par type de trafic. En d’autres termes, l’activité des trafiquants est une forme de génération de leads. »

Contrairement à d’autres escroqueries qui consistent à créer des sites d’achat contrefaits pour faciliter les transactions frauduleuses, Crazy Evil se concentre sur le vol d’actifs numériques impliquant des jetons non fongibles (NFT), des cryptomonnaies, des cartes de paiement et des comptes bancaires en ligne. On estime qu’elle a généré plus de 5 millions de dollars de revenus illicites et compromis des dizaines de milliers d’appareils dans le monde.

Il a également acquis une nouvelle importance à la suite d’escroqueries de sortie impliquant deux autres groupes de cybercriminalité Markopolo et CryptoLove , tous deux précédemment identifiés par Sekoia comme responsables d’une campagne ClickFix utilisant de fausses pages Google Meet en octobre 2024.

« Crazy Evil cible explicitement le secteur des cryptomonnaies avec des leurres de spear-phishing sur mesure », a déclaré Recorded Future. « Les trafiquants de Crazy Evil ont parfois besoin de plusieurs jours ou semaines de reconnaissance pour évaluer les opérations, identifier les cibles et lancer des combats. »

En plus d’orchestrer des chaînes d’attaque qui livrent des voleurs d’informations et des draineurs de portefeuilles, les administrateurs du groupe prétendent offrir des manuels d’instructions et des conseils pour ses services de taffer et de crypter pour les charges utiles malveillantes et se vantent d’une structure d’affiliation pour déléguer les opérations.

Logiciel malveillant Crypto Drainer />

Crazy Evil est le deuxième groupe de cybercriminalité après Telekopye à être exposé ces dernières années, et il concentre ses opérations autour de Telegram. Les affiliés nouvellement recrutés sont dirigés par un bot Telegram contrôlé par un acteur malveillant vers d’autres canaux privés –

  • Paiements , qui annonce les gains pour les traders
  • Logbar , qui fournit une piste d’audit des attaques de voleurs d’informations, des détails sur les données volées et si les cibles sont des victimes répétées
  • Info , qui fournit des mises à jour administratives et techniques régulières pour les commerçants
  • Global Chat , qui sert d’espace de communication principal pour des discussions allant du travail aux mèmes

Le groupe de cybercriminalité se compose de six sous-équipes, AVLAND, TYPED, DELAND, ZOOMLAND, DEFI et KEVLAND, chacune étant attribuée à une escroquerie spécifique consistant à duper les victimes en leur faisant installer l’outil à partir de faux sites Web.

  • AVLAND (alias AVS | RG ou AVENGE), qui exploite les escroqueries liées aux offres d’emploi et aux investissements pour propager les voleurs StealC et AMOS sous le couvert d’un outil de communication Web3 nommé Voxium (« voxiumcalls[.]com »)
  • TYPED , qui propage le voleur AMOS sous le couvert d’un logiciel d’intelligence artificielle nommé TyperDex (“typerdex[.]ai”)
  • DELAND , qui propage le voleur AMOS sous le couvert d’une plateforme de développement communautaire nommée DeMeet (“demeet[.]app”)
  • ZOOMLAND , qui exploite des escroqueries génériques se faisant passer pour Zoom et WeChat (« app-whechat[.]com ») pour propager le voleur AMOS
  • DEFI , qui propage le voleur AMOS sous le couvert d’une plateforme de gestion d’actifs numériques nommée Selenium Finance (« selenium[.]fi »)
  • KEVLAND , qui propage le voleur AMOS sous le couvert d’un logiciel de réunion virtuelle amélioré par l’IA nommé Gatherum (« gatherum[.]ca »)

« Alors que Crazy Evil continue de connaître du succès, d’autres entités cybercriminelles sont susceptibles d’imiter ses méthodes, obligeant les équipes de sécurité à rester perpétuellement vigilantes pour empêcher les violations généralisées et l’érosion de la confiance dans les secteurs des crypto-monnaies, des jeux et des logiciels », a déclaré Recorded Future.

Cette découverte intervient alors que la société de cybersécurité a exposé un système de distribution du trafic (TDS) baptisé TAG-124, qui chevauche des clusters d’activité connus sous les noms de LandUpdate808 , 404 TDS , Kongtuke et Chaya_002 . Plusieurs groupes de menaces, notamment ceux associés au ransomware Rhysida, au ransomware Interlock , à TA866/Asylum Ambuscade , à SocGholish , à D3F@ck Loader et à TA582, ont été identifiés comme utilisant le TDS dans leurs séquences d’infection initiales.

« TAG-124 comprend un réseau de sites WordPress compromis, des serveurs de charge utile contrôlés par des acteurs, un serveur central, un serveur de gestion suspect, un panneau supplémentaire et d’autres composants », a-t-il déclaré . « Si les visiteurs remplissent des critères spécifiques, les sites Web WordPress compromis affichent de fausses pages de destination de mise à jour de Google Chrome, ce qui conduit finalement à des infections par des logiciels malveillants. »

Logiciel malveillant Crypto Drainer />

Recorded Future a également noté que l’utilisation partagée de TAG-124 renforce le lien entre les souches de ransomware Rhysida et Interlock , et que les récentes variantes des campagnes TAG-124 ont utilisé la technique ClickFix consistant à demander aux visiteurs d’exécuter une commande pré-copiée dans leur presse-papiers pour lancer l’infection par le malware.

Certaines des charges utiles déployées dans le cadre de l’attaque incluent Remcos RAT et CleanUpLoader (alias Broomstick ou Oyster), ce dernier servant de canal pour les ransomwares Rhysida et Interlock.

Des sites WordPress compromis, au nombre de plus de 10 000, ont également été découverts, servant de canal de distribution pour AMOS et SocGholish dans le cadre de ce qui a été décrit comme une attaque côté client.

« Le JavaScript chargé dans le navigateur de l’utilisateur génère la fausse page dans un iframe », a déclaré Himanshu Anand, chercheur chez c/side . « Les attaquants utilisent des versions et des plugins WordPress obsolètes pour rendre la détection plus difficile pour les sites Web qui ne disposent pas d’un outil de surveillance côté client. »

De plus, les acteurs malveillants ont exploité la confiance associée à des plateformes populaires comme GitHub pour héberger des installateurs malveillants qui conduisent au déploiement de Lumma Stealer et d’autres charges utiles comme SectopRAT, Vidar Stealer et Cobalt Strike Beacon.

/>

L’activité de Trend Micro présente des similitudes significatives avec les tactiques attribuées à un acteur malveillant appelé Stargazer Goblin , qui a l’habitude d’utiliser des référentiels GitHub pour la distribution de charges utiles. Cependant, une différence cruciale est que la chaîne d’infection commence par des sites Web infectés qui redirigent vers des liens de publication GitHub malveillants.

« La méthode de distribution de Lumma Stealer continue d’évoluer, l’acteur de la menace utilisant désormais les référentiels GitHub pour héberger des logiciels malveillants », ont déclaré les chercheurs en sécurité Buddy Tancio, Fe Cureg et Jovit Samaniego .

« Le modèle de malware en tant que service (MaaS) offre aux acteurs malveillants un moyen rentable et accessible d’exécuter des cyberattaques complexes et d’atteindre leurs objectifs malveillants, facilitant ainsi la diffusion de menaces telles que Lumma Stealer. »

Sujets récents