Gang d'escroquerie de cryptomonnaies « Crazy Evil »

Depuis 2021, le gang d'escroquerie de cryptomonnaies « Crazy Evil » s'est hissé parmi les groupes cybercriminels les plus prolifiques à cibler les actifs numériques. Spécialisé dans l'usurpation d'identité, le vol de cryptomonnaie et les malwares de vol d'informations, Crazy Evil emploie un réseau bien coordonné de trafiquants, des experts en ingénierie sociale chargés de rediriger le trafic légitime vers des pages d'hameçonnage malveillantes.

L'opération de Crazy Evil est à la fois vaste et méticuleuse. Ses six sous-équipes (AVLAND, TYPED, DELAND, ZOOMLAND, DEFI et KEVLAND) mènent des escroqueries sur mesure ciblant des profils de victimes spécifiques. Qu'il s'agisse de leurre de phishing visant les influenceurs liés aux cryptomonnaies ou de charges utiles de malwares conçus pour les infections multiplateformes, les tactiques du groupe reflètent une compréhension approfondie des failles de cybersécurité.

Key Findings

1. Escroqueries sur les réseaux sociaux : Insikt Group a identifié plus de dix escroqueries actives, y compris Voxium et Rocket Galaxy, utilisant des leurres personnalisés pour tromper les victimes.
2. Boîte à outils diversifiée pour les malwares : Crazy Evil utilise des outils avancés comme Stealc et AMOS pour Windows et macOS, assurant une compromission généralisée.
3. Ciblage des utilisateurs et des influenceurs de crypto-monnaies : Crazy Evil cible explicitement le secteur des crypto-monnaies avec des leurres de spearphishing personnalisés.

Mitigations

• Amélioration de la protection des points de terminaison : déployez des solutions avancées de détection et de réponse (EDR) pour surveiller et bloquer l'exécution des familles de malwares connues associées à Crazy Evil, telles que Rhadamanthys, Stealc et AMOS. Ces outils spécifiques, combinés aux escroqueries sur les réseaux sociaux, sont des indicateurs immédiats d'une attaque de Crazy Evil.
• Filtrage et surveillance du Web : déployez des solutions de filtrage Web pour bloquer l'accès aux domaines malveillants connus liés à Crazy Evil, y compris tous les domaines énumérés dans le présent rapport, ainsi qu'aux téléchargements suspects, en particulier ceux liés à des logiciels « freemium » piratés.
• Surveillance continue des renseignements sur les menaces : mettez régulièrement à jour les flux de threat intelligence avec les derniers indicateurs de compromission (IoC) liés à Crazy Evil. Assurez-vous que les équipes de sécurité soient informées des dernières tactiques, techniques et procédures (TTP) utilisées par le groupe.
• Sensibilisation et formation des utilisateurs : mettez en œuvre une formation continue de sensibilisation à la cybersécurité pour les employés, en soulignant les risques liés au phishing, à l'ingénierie sociale et aux téléchargements suspects. Incluez des modules spécifiques sur les risques posés par les attaques de Crazy Evil ciblant les cryptomonnaies.
• Collaboration et partage d'informations : collaborez avec des pairs du secteur, des organisations de threat intelligence et les forces de l'ordre pour partager des informations sur Crazy Evil et des menaces similaires. Participez à des initiatives intersectorielles pour améliorer les défenses collectives contre les groupes cybercriminels avancés.
• Amélioration de la conformité réglementaire : gardez une longueur d'avance sur l'évolution des exigences réglementaires liées à la protection des données et à la cybersécurité. Veillez à ce que les pratiques de votre organisation soient conformes aux normes nationales et internationales, notamment dans des secteurs tels que la finance, où les attaques de Crazy Evil pourraient avoir des conséquences graves.
• Recorded Future : Insikt Group recommande d'utiliser Recorded Future Malware Intelligence pour identifier les identifiants de build, l'infrastructure C2, les domaines de mise en scène et d'autres indicateurs malveillants associés aux escroqueries Crazy Evil décrites ci-dessus. L'utilisation de Recorded Future Malware Intelligence et de Recorded Future Network Intelligence permet de mieux identifier et de regrouper les activités des voleurs d'informations, en fournissant des indications initiales sur les infections, la victimologie et les escroqueries par pivotement.

To read the entire analysis, click here to download the report as a PDF.