10 000 personnes victimes du pirate “Investimer” qui a déjà engrangé plus de 24 000 dollars

3
116

Doctor Web rapporte qu’un escroc a causé plus de 24 000 $ de dommages grâce à plusieurs malwares ciblant le marché des crypto monnaie. Plus 10 000 personnes ont été victimes d’Investimer.

Les analystes de Doctor Web ont mené une enquête sur les activités d’un escroc qui agissait sur le marché de la crypto-monnaie. Le malfaiteur qui se cachait derrière le pseudo « Investimer » utilisait une large gamme de malwares et une variété de techniques permettant d’obtenir des gains de manière illicite.

Cet escroc connu sur Internet sous les noms de Investimer, Hyipblock et Mmpower, utilise un large jeu de Trojans aujourd’hui populaires sur le marché noir, notamment Eredel, AZORult, N0F1L3, Kratos, Kpot, ACRUX, Predator The Thief, Arkei, Pony. L’arsenal de l’attaquant comprend également le backdoor Spy-Agent crée à la base de l’application TeamViewer, les backdoors DarkVNC et HVNC conçus pour accéder à l’ordinateur contaminé via le protocole VNC ainsi que le backdoor créé en utilisant le logiciel RMS. Le malfaiteur utilise activement le downloader Smoke Loader comme il utilisait plus tôt le Loader by Danij et le Trojan miner ayant un module embarqué pour substituer le contenu du presse-papier (clipper). Investimer utilise des serveurs de gestion avec une interface d’administrateur sur les plateformes telles que jino.rumarosnet.ru et hostlife.net, dont la plupart d’entre elles fonctionnent sous la protection du service Cloudflare, afin de dissimuler les vraies adresses IP des ressources réseau utilisées.

Investimer est spécialisé dans la fraude avec des crypto-monnaies, surtout avec Dogecoin. Pour mener à bien ses activités, il a créé un grand nombre de sites de phishing qui répliquent des ressources Internet existantes. L’un d’eux est une fausse bourse de crypto-monnaies nécessitant un programme client pour son utilisation. Mais sous le couvert de cette application, le Trojan Spy-Agent est téléchargé sur l’ordinateur de la victime.

Il utilise également un pool de dispositifs conçus pour miner de la crypto-monnaie Dogecoin et qui est soi-disant « loué » à des prix très compétitifs. Ce pool, inexistant en réalité, nécessite également une application client spécialisée qui doit être téléchargée sur l’ordinateur de la victime sous la forme d’une archive protégée par un mot de passe. Cette protection par mot de passe empêche les programmes antivirus d’analyser le contenu de l’archive et de la supprimer au stade du téléchargement. Il est facile à deviner que l’archive cache un Trojan Stealer.

Une autre ressource frauduleuse créée par Investimer est dédiée à la crypto-monnaie Etherium. Le criminel propose à ses victimes potentielles une récompense pour les visites de certains sites sur Internet, pour ce faire, elles sont invitées à installer un programme (malveillant) sous couvert d’une application spécialisée. Dans ce cas, le Trojan commence à se télécharger de manière automatique lorsque l’utilisateur consulte le site. L’escroc a laissé quelques faux avis sur le fonctionnement de ce service.

De même, il organise des loteries en ligne qui ont pour prime une certaine somme en Dogecoin. Bien évidemment, les loteries sont organisées de sorte qu’aucun participant ne gagne, c’est l’organisateur seul qui le peut. Au moment de la rédaction de cet article, plus de 5800 utilisateurs ont été enregistrés dans une loterie organisée par Investimer.

Investimer propose également sur un de ses sites une récompense en Dogecoin pour la consultation de pages web affichant des publicités. Ce projet compte plus de 11 000 utilisateurs enregistrés.

Sous le couvert d’un plugin nécessaire pour le navigateur du participant souhaitant gagner à l’aide du surf sur le Web, un backdoor est téléchargé sur l’ordinateur de la victime du site ” partenaire “. Puis il installe un Trojan Stealer sur la machine infectée.

Mais Investimer n’oublie pas le phishing traditionnel. Un site web qu’il a créé propose une récompense pour de nouveaux utilisateurs attirés dans le système de paiement Etherium, mais en fait, ce site récolte les données d’authentification saisies lors de l’enregistrement.

En plus des techniques décrites ci-dessus, Investimer a tenté de copier le site officiel cryptobrowser.site. Les créateurs de ce projet original ont mis au point un navigateur spécialisé qui extrait de la crypto-monnaie en tâche de fond lorsque l’utilisateur consulte des pages web. Le site contrefait créé par Investimer n’est néanmoins pas parfait car une partie des éléments graphiques ne s’affiche pas, mais le texte du contrat de licence contient une adresse email appartenant aux vrais développeurs, et le Trojan que la victime reçoit sous la forme d’un navigateur web est téléchargé d’une ressource hébergée sur un autre domaine. L’illustration suivante montre un faux site créé par Investimer (à gauche) en comparaison avec le site original (à droite).

Investimer a été vu dans la mise en œuvre d’autres schémas de fraude en ligne et notamment dans des jeux en ligne construits sur le principe de la pyramide financière. Les informations aspirées à l’aide des Trojans Stealers sont utilisées par le criminel pour voler des crypto-monnaies et de l’argent que ses victimes gagnent dans les portes-monnaies des systèmes de paiement en ligne. Il est à noter que dans le panneau d’administration via lequel Investimer gère l’accès aux machines piratées, il ajoute à chaque entrée sur ses victimes des commentaires obscènes impossibles de citer pour des raisons évidentes.

Dans l’ensemble, le schéma utilisé par ce criminel est le suivant. Une victime potentielle est attirée par différentes techniques sur un site frauduleux où elle doit télécharger un programme client pour pouvoir utiliser les fonctionnalités du site. Mais à la place d’un programme client, la victime télécharge un Trojan qui installe sur l’ordinateur d’autres malwares sur commande du pirate. Ces programmes (surtout les chevaux de Troie dits Stealers) volent depuis les ordinateurs contaminés des informations confidentielles qui sont utilisées plus tard pour voler de la crypto-monnaie ainsi que de l’argent que la victime garde dans différents systèmes de paiement électroniques.

Les analystes de Doctor Web estiment que le nombre total d’utilisateurs affectés par les activités illicites d’Investimer dépasse 10 000 personnes. Le dommage causé par ce malfaiteur est estimé à plus de 23 000 dollars américains. Auxquels il faut aouter plus de 182 000 en Dogecoin, l’équivalent de 900 $ au taux de change actuel.

Les adresses de tous les sites créés par Investimer ont été ajoutés à la base de Dr.Web SpIDer Gate, tous les programmes malveillants utilisés dans les schémas mentionnés sont détectés et supprimés par notre antivirus.

Vous pouvez consulter une liste complète des ” Indicators of compromise ” sur le lien  https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer  .

3 Commentaires

  1. Bonjour, j’ai fait un très mauvais investissement il y a quelque temps. J’étais endetté à cause de l’effet que cela a eu sur moi. J’ai rencontré quelqu’un qui m’a aidé à récupérer mon argent et je pensais pouvoir aider d’autres personnes ayant perdu de l’argent pour de faux investissements. mail 101102access # protonmail: com

Les commentaires sont fermés.