Une nouvelle attaque de type prank-trojan en Russie, une fuite de données de la Commission européenne et d'autres événements en cybersécurité - ForkLog : cryptomonnaies, IA, singularité, avenir

# Nouvelle arnaque-trojan en Russie, fuite de données de la Commission européenne et autres événements de cybersécurité

Nous avons rassemblé les informations les plus importantes du monde de la cybersécurité pour la semaine.

• Surveillait, remplaçait les adresses crypto et se moquait : en Russie, un trojan d’arnaque a été découvert.
• Les adresses des serveurs de logiciels destinés au vol de crypto-monnaies ont été repérées dans Spotify et Chess.com.
• Le pirate a été inculpé pour le vol de $53 millions sur une bourse crypto Uranium.
• Les experts ont découvert une nouvelle version du stealier de phrases seed pour Apple et Android.

Surveillait, remplaçait les adresses crypto et se moquait : en Russie, un trojan d’arnaque a été découvert

Les experts du « Laboratoire Kaspersky » ont identifié en Russie une campagne active de diffusion d’un nouveau trojan. CrystalX est promu via le modèle CaaS par la publicité sur les réseaux sociaux Telegram et YouTube.

Le logiciel fonctionne à la fois comme un espion et un stealier, permettant d’effectuer les actions suivantes :

• voler les identifiants des navigateurs, ainsi que des comptes sur Steam, Discord, Telegram ;
• remplacer discrètement les adresses des portefeuilles crypto dans le presse-papiers ;
• enregistrer en toute discrétion le son et la vidéo depuis l’écran et les webcams.

Le trait distinctif du malware résidait dans des moqueries envers l’utilisateur en temps réel. Pour cela, le panneau contient une section séparée Rofl avec les commandes correspondantes :

• chargement d’une image depuis l’URL indiquée et installation de celle-ci comme fond d’écran ;
• modification de l’orientation de l’écran à 90°, 180° ou 270° ;
• arrêt du système d’exploitation à l’aide de l’utilitaire shutdown.exe ;
• remplacement des fonctions du bouton gauche de la souris par le bouton droit, et inversement ;
• désactivation du moniteur et blocage de la saisie ;
• tremblement du curseur par courtes intervalles ;
• masquage de toutes les icônes des fichiers sur le bureau, désactivation du panneau des tâches, du gestionnaire des tâches et de cmd.exe.

De plus, l’attaquant peut envoyer un message à la victime, après quoi une fenêtre de dialogue s’ouvre dans le système pour une correspondance à double sens.

Source : « Laboratoire Kaspersky ». Comme l’a souligné l’expert principal de Kaspersky GReAT, Leonid Bezvershenko, dans un commentaire à « Code de Durov », le virus évolue activement et est pris en charge par ses créateurs. Il s’attend à une hausse du nombre de victimes à mesure que la géographie des attaques s’étend.

Les spécialistes recommandent de télécharger des applications uniquement depuis les magasins officiels, d’installer un antivirus fiable, ainsi que d’activer dans Windows l’affichage des extensions afin de ne pas lancer par inadvertance des fichiers dangereux aux formats .EXE, .VBS et .SCR.

Les adresses des serveurs de logiciels destinés au vol de crypto-monnaies ont été repérées dans Spotify et Chess.com

Les chercheurs de Solar 4RAYS ont noté que les pirates dissimulent les adresses des serveurs de contrôle du stealier MaskGram dans les profils Spotify et Chess.com

MaskGram vise le vol de comptes et de crypto-monnaies, et dispose également de la possibilité de charger des modules supplémentaires.

Le logiciel malveillant collecte des données sur le système, la liste des processus et les applications installées, et réalise des captures d’écran. Il extrait des informations depuis les navigateurs Chromium, les portefeuilles crypto, les clients e-mail, les messageries et les applications VPN.

Les cybercriminels diffusent le logiciel par ingénierie sociale : ils se font passer pour des versions piratées de programmes payants afin de procéder à des contrôles en masse des identifiants et mots de passe issus de bases de données divulguées, telles que Netflix Hunter Combo Tool, Steam Combo Extractor et Deezer Checker.

D’après les experts, le logiciel utilise la technique du « dead drop » ou Dead Drop Resolver (DDR), qui permet de stocker l’information sur le serveur de contrôle dans des pages de services publics et de la remplacer rapidement.

La machine infectée ne contacte pas un IP suspect, mais Spotify ou Chess.com, en affichant une activité utilisateur normale.

Champ about dans le profil utilisateur sur Chess.com. Source : Solar 4RAYS. Pour chaque plateforme, on utilise un ensemble de marqueurs différent. Par exemple, pour Chess.com — le champ about dans le profil utilisateur. La chaîne extraite est soumise au décodage puis transformée en domaine du serveur.

En mars, les spécialistes d’Aikido ont constaté l’utilisation de la technique du « dead drop » par le stealier GlassWorm dans des transactions de crypto sur la blockchain Solana.

Le pirate a été inculpé pour le vol de $53 millions sur une bourse crypto Uranium

Le ministère public américain a porté des accusations contre Jonathan Spallete pour avoir volé plus de $53 millions sur la bourse crypto Uranium Finance et pour blanchiment d’argent.

En avril 2021, Spallete (également connu sous le pseudonyme Cthulhon) a piraté une bourse décentralisée (DEX) Uranium basée sur BNB Chain. En conséquence, le manque de fonds a forcé l’entreprise à fermer.

En février 2025, lors d’une perquisition, les forces de l’ordre ont saisi des objets de valeur au domicile du suspect, et ont également rétabli l’accès à des crypto-monnaies d’une valeur d’environ $31 millions.

Selon les forces de l’ordre, Spallete blanchissait les actifs volés via la DEX et le mixeur Tornado Cash. Il dépensait ensuite l’argent obtenu pour des objets de collection :

• une carte Magic: The Gathering « Black Lotus » — ~$500 000 ;
• 18 boosters scellés Alpha Edition Magic: The Gathering — ~$1,5 million ;
• un set de base complet de Pokémon de la première édition — ~$750 000 ;
• une pièce de la Rome antique frappée en l’honneur de l’assassinat de Jules César — plus $601 000.

Spallete encourt jusqu’à 10 ans de prison pour fraude informatique et jusqu’à 20 ans si on le reconnaît coupable de blanchiment d’argent.

Les experts ont découvert une version mise à jour du stealier de phrases seed pour Apple et Android

Les chercheurs du « Laboratoire Kaspersky » ont découvert une nouvelle version du logiciel malveillant SparkCat destiné au vol de crypto-monnaies dans l’Apple App Store et le Google Play Store. C’est ce que rapporte The Hacker News.

Le stealier se déguise en applications inoffensives comme des messageries d’entreprise et des services de livraison de nourriture. En arrière-plan, il scanne les galeries photo des victimes à la recherche de phrases seed de portefeuilles crypto.

Les experts ont analysé deux applications infectées sur App Store et une sur Google Play. Elles visent principalement des utilisateurs de crypto-monnaies en Asie :

• variante iOS. Scanne des phrases mnémotechniques de portefeuilles crypto en anglais. Cette approche rend la version iOS potentiellement plus dangereuse à l’échelle mondiale, car elle peut toucher des utilisateurs indépendamment de leur région ;
• variante Android. Dans la version mise à jour, plusieurs niveaux de brouillage du code sont apparus par rapport aux versions précédentes. Le logiciel utilise la virtualisation de code et des langages de programmation multiplateformes pour contourner l’analyse. En outre, il recherche des mots-clés en japonais, en coréen et en chinois, ce qui confirme un focus sur la région asiatique.

Les spécialistes pensent qu’un opérateur parlant chinois ou russe est impliqué dans l’opération. D’après les données les plus récentes, la menace évolue activement et les personnes derrière elle disposent de compétences techniques élevées.

La Commission européenne a confirmé la fuite à la suite d’une cyberattaque ShinyHunters

La Commission européenne (CE) a confirmé le fait d’une fuite de données après une cyberattaque contre la plateforme web Europa.eu, dont les auteurs ont revendiqué la responsabilité : les rançongiciels de ShinyHunters.

À la CE, ils ont déclaré que l’incident n’a pas perturbé le fonctionnement du portail et qu’il a pu être isolé.

Bien que la Commission n’ait pas fourni de détails, les agresseurs ont indiqué à BleepingComputer qu’ils avaient réussi à voler plus de 350 Go d’informations, y compris plusieurs bases de données. Ils n’ont pas dévoilé la méthode de piratage des comptes AWS, mais ont fourni des captures d’écran confirmant l’accès aux comptes de certains employés de la CE.

Le groupe a également publié un post sur son site de fuites dans le darknet, affirmant qu’il a dérobé plus de 90 Go de fichiers :

• dumps de serveurs de messagerie ;
• bases de données ;
• documents et contrats confidentiels ;
• autres contenus sensibles.

Source : BleepingComputer Aussi sur ForkLog :

• Le projet Solana Drift Protocol a perdu $280 millions.
• Chez CertiK, des avertissements ont été émis sur les risques de vol de crypto-monnaies via OpenClaw.

Que lire le week-end ?

Après avoir étudié les données des équipes de recherche, les rapports des entreprises et l’état actuel des choses, ForkLog s’est penché sur la manière dont évoluent les technologies d’interfaces « cerveau — ordinateur ».