Cybercriminal Campaign Spreads Infostealers, Highlighting Risks to Web3 Gaming

Insikt Group a identifié une vaste campagne cybercriminelle en russe s'appuyant sur des projets de jeux Web3 frauduleux pour diffuser plusieurs variantes du malware voleur d'informations (« infostealer ») sur les appareils macOS et Windows. Les jeux Web3 font référence aux jeux en ligne construits sur la technologie blockchain, qui peuvent entraîner des gains financiers pour les joueurs qui gagnent diverses crypto-monnaies. Ces projets Web3 frauduleux imitent des projets légitimes en modifiant légèrement les noms et la marque des projets. Cette image de marque frauduleuse comprend également de nombreux comptes de médias sociaux qui se font passer pour des projets légitimes, ce qui peut donner une apparence d'authenticité.

La nature ciblée de cette campagne suggère que les acteurs de la menace peuvent percevoir les joueurs du Web3 comme étant plus vulnérables à l'ingénierie sociale, en raison d'un compromis supposé en matière d'hygiène cybernétique, ce qui signifie que les joueurs du Web3 pourraient avoir moins de protections en place contre la cybercriminalité, dans le but de faire du profit. Les acteurs de la menace à l'origine de la campagne créent l'infrastructure nécessaire pour permettre la redondance et la continuité, et la nature agile de la campagne implique la résilience, ce qui indique qu'il peut être relativement simple pour les acteurs de la menace de se retirer ou de changer de marque une fois identifiés. Nous avons remarqué que la version d'AMOS distribuée dans le cadre de cette campagne peut infecter à la fois des Mac équipés d'un processeur Intel et d'un Mac ARM (Apple M1), ce qui signifie que les victimes utilisant l'un ou l'autre des chipsets peuvent être vulnérables à l'infostealer. Compte tenu de l'audience des projets de jeux Web3, il est presque certain que les acteurs de la menace ciblent principalement les victimes avec des portefeuilles de crypto-monnaies. Alors que la compromission du portefeuille continue d'être la plus grande menace pour la sécurité du Web3 et des crypto-monnaies, mesurée par le coût total, nous estimons que la compromission du portefeuille est probablement l'objectif final de cette campagne. Cependant, les informations d'identification collectées peuvent être utilisées pour un ensemble d'accès non autorisés à des comptes.

Les tactiques, techniques et procédures (TTP) de la campagne permettent de maintenir l'efficacité des mesures d'atténuation basées uniquement sur la détection et la réponse des points finaux (EDR) ou les produits antivirus (AV). Les personnes et les organisations ciblées doivent répondre à la menace multiplateforme de la campagne par une stratégie d'atténuation complète. Les artefacts en russe présents dans le code HTML de ces projets suggèrent que les acteurs de la menace parlent probablement russe. Bien que nous ne puissions pas déterminer leur emplacement exact, la présence de ces artefacts suggère que les acteurs de la menace pourraient se trouver en Russie ou dans un pays de la Communauté des États Indépendants (CEI).

La surveillance continue de cette campagne peut ne pas être réalisable, ce qui signifie que les individus et les organisations doivent atténuer les effets du vecteur d'attaque plus large lui-même. Étant donné que la campagne se propage par le biais de téléchargements de logiciels de « trap phishing », des campagnes complètes de sensibilisation et d'éducation des utilisateurs sont essentielles pour décourager les victimes potentielles de télécharger des logiciels provenant de sources non vérifiées et non officielles. D'autres recommandations sont fournies dans la section « Atténuations » du présent rapport.

Les organisations actives dans le domaine des jeux Web3 ou dans des secteurs connexes, tels que l'industrie du jeu en général ou les bourses de cryptomonnaies, entre autres, risquent de se faire passer pour leurs projets dans le cadre de cette campagne, ce qui peut porter atteinte à leur marque si rien n'est fait pour y remédier. Bien qu'il soit difficile de déterminer les pertes financières liées à la dégradation de la marque, les projets Web3 concernés risquent de porter atteinte à leur réputation auprès de l'ensemble de leur base d'utilisateurs et de l'ensemble de l'industrie du jeu Web3 si une telle campagne n'est pas menée. Compte tenu de l'agilité de cette campagne, nous estimons que ces acteurs de la menace continueront probablement à cibler les projets de jeux Web3 avec des voleurs d'informations.

Web of Deceit: The Rise of Imitation Web3 Gaming Scams and Malware Infections

The campaign involves creating imitation Web3 gaming projects with slight name and branding modifications to appear legitimate, along with fake social media accounts to bolster their authenticity. The main webpages of these projects offer downloads that, once installed, infect devices with various types of "infostealer" malware such as Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys, or RisePro, depending on the operating system.

Fraudulent Web3 gaming project status (Source: Recorded Future)

La campagne cible les joueurs du Web3 et exploite leur manque potentiel d'hygiène cybernétique pour réaliser des profits. Il s'agit d'une menace multiplateforme importante, utilisant une variété de malwares pour compromettre les systèmes des utilisateurs. Les acteurs de la menace ont mis en place une infrastructure résiliente, qui leur permet de s'adapter rapidement en changeant de marque ou en se concentrant sur la détection. Le rapport souligne la nécessité d'une vigilance continue et recommande aux particuliers et aux organisations d'adopter des stratégies complètes d'atténuation de ces tactiques de phishing sophistiquées.

Des résultats spécifiques révèlent que les versions des malwares, y compris AMOS, peuvent infecter à la fois les Mac Intel et Apple M1, ce qui indique une grande vulnérabilité chez les utilisateurs. L'objectif principal semble être le vol de portefeuilles de cryptomonnaies, ce qui représente un risque important pour la sécurité financière. Malgré des mesures d'atténuation potentielles telles que la détection des points finaux et les logiciels antivirus, les techniques de la campagne restent efficaces, ce qui suggère la nécessité d'adopter des mesures de défense plus larges. Les artefacts contenus dans le code HTML indiquent l'origine russe des acteurs de la menace, bien que leur localisation exacte reste incertaine. Le rapport souligne le besoin crucial de sensibilisation et d'éducation pour empêcher les téléchargements à partir de sources non vérifiées, et met en évidence le risque d'atteinte à la marque des projets de jeux légitimes sur le Web3 si ces menaces ne sont pas traitées de manière adéquate.

To read the entire analysis, click here to download the report as a PDF.

Remarque : ce résumé du rapport a été publié pour la première fois le 11 avril 2024 et a été mis à jour le 29 octobre 2024. L'analyse et les résultats d'origine restent inchangés.

Appendix A — Indicators of Compromise

Appendix B — Mitre ATT&CK Techniques

Appendix C — Domain and IP Correlations