Des criminels utilisent GitHub et YouTube pour vider les portefeuilles crypto

Des cybercriminels ont lancé une campagne de malware sophistiquée utilisant des plateformes de confiance comme GitHub, SourceForge, YouTube et VirusTotal pour donner une apparence légitime à leurs logiciels malveillants. Selon une nouvelle étude de l’entreprise de cybersécurité Check Point, les investisseurs en cryptomonnaies et les parieurs en ligne sont particulièrement visés. Les attaquants attirent leurs victimes avec des logiciels promettant des gains rapides, alors qu’ils sont en réalité conçus pour voler des cryptomonnaies.

Portefeuilles crypto vidés par un malware caché

Selon Check Point, les criminels distribuaient divers programmes prétendant aider les utilisateurs à échanger des cryptomonnaies ou à prédire les résultats de jeux en ligne. Cela incluait notamment des sniperbots pour les cryptos et des outils prétendant pouvoir prédire les résultats de jeux de hasard populaires.

Une fois installés, ces logiciels se révélaient contenir un malware spécifiquement conçu pour intercepter les transactions en cryptomonnaies. Ce malware utilise une technique connue sous le nom de clipper, vérifiant continuellement le presse-papiers d’un ordinateur à la recherche d’adresses de portefeuille.

Lorsqu’un utilisateur copie une adresse de portefeuille pour envoyer des cryptomonnaies, le malware la remplace discrètement par une adresse appartenant aux attaquants. La victime pense alors effectuer une transaction normale, tandis que les cryptomonnaies sont envoyées directement aux criminels.

Les chercheurs ont découvert plus de 15 500 adresses de portefeuille utilisées par le malware. Parmi elles, des adresses pour le Bitcoin (BTC), l’Ethereum (ETH), Monero (XMR), Dogecoin (DOGE), Cardano (ADA) et Litecoin (LTC).

Selon Check Point, ces adresses sont régulièrement remplacées après chaque vol réussi, compliquant ainsi le suivi des flux financiers sur la blockchain pour les chercheurs.

GitHub et SourceForge exploités pour inspirer confiance

Ce qui rend cette campagne particulière, c’est la manière dont les attaquants tentent de gagner la confiance. Le malware était hébergé sur GitHub et SourceForge, des plateformes généralement utilisées pour des projets logiciels légitimes.

Pour rendre le logiciel crédible, les criminels ont manipulé divers systèmes de réputation. Des étoiles GitHub, des forks, des avis d’utilisateurs et des chiffres de téléchargement ont été artificiellement gonflés. Des commentaires positifs sont également apparus sur VirusTotal, affirmant que le logiciel était sûr.

En outre, les chercheurs ont découvert un réseau de comptes GitHub collaborant pour se soutenir mutuellement. Ces « Ghost Networks » attribuaient des étoiles aux projets des uns et des autres, apparaissaient comme contributeurs et promouvaient les dépôts pour donner l’impression que le logiciel était populaire.

Selon Check Point, cette approche démontre à quel point les cybercriminels deviennent de plus en plus professionnels dans la tromperie des victimes potentielles.

Des dizaines de milliers de téléchargements et vidéos AI sur YouTube

Les chercheurs ont constaté que la campagne avait réussi à obtenir une large portée. Rien que sur GitHub, plus de 5 000 téléchargements ont été enregistrés.

Un exemple frappant était l’Aviator Predictor, un programme prétendant prédire le résultat du jeu en ligne Aviator. La version macOS de ce logiciel a été téléchargée plus de 1 250 fois.

Les chiffres sur SourceForge étaient également remarquables. Plus de 44 000 téléchargements y ont été enregistrés, dont une grande partie semblait provenir du Pakistan et de l’Inde. Fait surprenant, plus de 37 000 téléchargements provenaient d’appareils Android, alors que le logiciel était uniquement disponible pour Windows et macOS.

Selon Check Point, cela pourrait indiquer l’utilisation d’une ferme d’appareils, où de nombreux appareils automatisés sont utilisés pour gonfler artificiellement les chiffres de téléchargement et faire paraître le logiciel plus populaire qu’il ne l’est.

La promotion ne s’est pas limitée aux plateformes de logiciels. Les attaquants géraient également une chaîne YouTube avec plus de 91 000 abonnés, où des vidéos démontrant les programmes étaient présentées par un animateur généré par IA.

En combinant des captures d’écran avec des présentateurs artificiellement générés, les chercheurs estiment que cela a créé une impression crédible de légitimité. De plus, des articles promotionnels ont été publiés sur divers sites d’information pour donner plus de visibilité à la campagne.

Check Point avertit que les cybercriminels utilisent de plus en plus les systèmes de réputation, les réseaux sociaux et le contenu généré par IA pour gagner la confiance. Cela rend de plus en plus difficile pour les consommateurs de distinguer les logiciels légitimes des programmes malveillants.