Attaques de logiciels malveillants de type Deepfakes : Les tactiques avancées de GoldFactory
Dans le paysage en constante évolution de la téléphonie mobile Attaques de logiciels malveillants Deepfakesun célèbre acteur de la menace nommé GoldFactory a fait surface, laissant dans son sillage des trojans bancaires très sophistiqués. Le groupe, qui opère depuis au moins la mi-2023, s'est fait connaître pour ses techniques avancées, notamment en introduisant un logiciel malveillant pour iOS appelé GoldPickaxe, qui n'avait jamais été documenté auparavant.
Ce logiciel malveillant va plus loin que les exploits habituels, puisqu'il est capable de recueillir des données sensibles telles que des documents d'identité, des données de reconnaissance faciale et d'intercepter des messages SMS. Comprendre la relation complexe entre les Deepfakes et les techniques des logiciels malveillants est essentielle pour atténuer la menace croissante que représentent les cyberattaques.
Dans ce blog, nous allons nous plonger dans le monde de la cybersécurité, en mettant en lumière la menace croissante des attaques de logiciels malveillants Deepfakes et leurs implications pour la sécurité et la vie privée en ligne.
GoldPickaxe : Une menace multiplateforme
GoldPickaxe, qui fait partie de l'arsenal GoldFactory, est une menace polyvalente qui cible à la fois les plateformes iOS et Android. Selon un rapport complet du Group-IB, basé à Singapour, GoldFactory est un groupe de cybercriminels chinois bien organisé qui entretient des liens étroits avec Gigabud.
La famille de logiciels malveillants comprend GoldDigger, GoldDiggerPlus et GoldKefu, chacun jouant un rôle spécifique dans les plans élaborés du groupe. Les campagnes d'ingénierie sociale de GoldFactory ont stratégiquement ciblé la région Asie-Pacifique, en particulier des pays comme la Thaïlande et le Vietnam.
Les attaquants emploient des tactiques trompeuses, se faisant passer pour des banques locales et des organisations gouvernementales afin d'attirer les victimes. Les principaux vecteurs sont les messages de smishing et de messages d'hameçonnageLes auteurs de ces messages, qui se font passer pour des banques locales ou des organisations gouvernementales, incitent les cibles à transférer leurs communications vers des applications de messagerie instantanée comme LINE.
Par la suite, les victimes sont amenées à cliquer sur des URL trompeuses qui déclenchent le déploiement de GoldPickaxe sur leurs appareils.
Décryptage des attaques de logiciels malveillants Deepfakes
Pour les utilisateurs d'Android, les applications malveillantes sont souvent hébergées sur des sites Web contrefaits ressemblant à des pages du Google Play Store ou à de faux sites Web d'entreprise. En revanche, GoldPickaxe pour iOS adopte une approche différente, en utilisant la plateforme TestFlight d'Apple et des URL piégées.
Ces URL invitent les utilisateurs à télécharger un profil de gestion des appareils mobiles (MDM), ce qui leur donne le contrôle total des appareils iOS pour l'installation de l'application malveillante. La sophistication de GoldPickaxe devient évidente dans sa capacité à contourner les mesures de sécurité imposées par la Thaïlande.
En réponse aux exigences de reconnaissance faciale pour les transactions importantes, le logiciel malveillant invite les victimes à enregistrer une vidéo dans la fausse application. Cette vidéo enregistrée devient la matière première pour la création de vidéos "deepfake", réalisée par des services d'intelligence artificielle de substitution de visage.
Capacités à double plate-forme et collecte d'informations
Les variantes Android et iOS de GoldPickaxe sont équipées pour collecter un large éventail d'informations sensibles, notamment des documents d'identité, des photos, des SMS interceptés et du trafic proxy via des appareils compromis. La variante iOS présente notamment moins de fonctionnalités en raison de la nature fermée du système d'exploitation iOS et de ses autorisations strictes.
GoldDigger et son évolution
GoldDigger, une autre création de GoldFactory, présente des similitudes au niveau du code avec GoldPickaxe. Alors que GoldDigger se concentre principalement sur le vol d'identifiants bancaires, GoldPickaxe se concentre sur la collecte d'informations personnelles auprès des victimes.
La version Android de GoldDigger, considérée comme un successeur évolutif de GoldDiggerPlus, se fait passer pour diverses applications du gouvernement thaïlandais, du secteur financier et des entreprises de services publics afin de dérober les identifiants de connexion.
Deepfakes et fraude financière
GoldDigger se distingue par son exploitation des services d'accessibilité d'Android, ce qui lui permet d'enregistrer les frappes au clavier et d'extraire le contenu de l'écran. Il cible plus de 50 applications de sociétés financières vietnamiennes et enregistre le texte affiché ou écrit sur l'interface utilisateur, y compris les mots de passe. La version de base de GoldDigger, découverte en juin 2023a ouvert la voie à des variantes améliorées telles que GoldDiggerPlus, qui intègre un autre composant troyen appelé GoldKefu.
Les tactiques trompeuses de GoldKefu
Tactiques trompeuses du GoldKefu Intégré au kit de développement logiciel (SDK) Agora, le GoldKefu permet des appels vidéo et vocaux interactifs qui améliorent sa fonctionnalité. Il incite les victimes à contacter un faux service clientèle bancaire en envoyant de fausses alertes, créant un faux sentiment d'urgence à propos d'un transfert de fonds fictif. Le cheval de Troie Android utilise de fausses superpositions pour collecter des informations de connexion lorsque l'application la plus récemment ouverte appartient à la liste cible.
Un défi permanent pour les logiciels malveillants mobiles
Cette évolution met en évidence la menace persistante qui pèse sur le paysage des logiciels malveillants mobiles. Les cybercriminels, tels que GoldFactory, continuent de trouver des moyens de contourner les mesures défensives mises en place par les banques pour contrer ce type de malware. les menaces de cybersécurité que représentent les Deepfakes. La nature dynamique des schémas d'ingénierie sociale ajoute au défi, soulignant la nécessité d'une vigilance constante.
Atténuer les attaques de logiciels malveillants de type Deepfakes
Sécurité bancaire et Deepfakes s'entrecroisent dans le paysage évolutif de la cybersécurité, posant de nouveaux défis aux institutions financières et aux utilisateurs. Pour atténuer les risques posés par les attaques de malwares Deepfakes de GoldFactory et sa suite de malwares bancaires mobiles, il est fortement conseillé aux utilisateurs d'éviter de cliquer sur des liens suspects.
En outre, ils devraient également s'abstenir d'installer des applications provenant de sites non fiables, qui sont des vecteurs courants de logiciels malveillants. En outre, il est essentiel de vérifier régulièrement les autorisations des applications, en particulier celles qui font appel aux services d'accessibilité d'Android, afin de maintenir la sécurité.
Un adversaire plein de ressources et capable de s'adapter
Les cybercriminels étant de plus en plus habiles à dissimuler leurs activités, le défi consistant à détecter les Deepfakes dans les logiciels malveillants devient de plus en plus complexe. GoldFactory apparaît comme un adversaire plein de ressources et adaptable, démontrant son expertise dans diverses tactiques, notamment l'usurpation d'identité, l'enregistrement des touches d'accessibilité, les faux sites web bancaires, les fausses alertes bancaires, les faux écrans d'appel et la collecte de données d'identité et de reconnaissance faciale.
Les processus bien définis et la maturité opérationnelle du groupe, associés aux améliorations constantes apportées à son ensemble d'outils, témoignent d'une grande compétence en matière de développement de logiciels malveillants. La prévention des logiciels malveillants avec Deepfakes nécessite une approche à multiples facettes qui associe des techniques de détection avancées à des mesures de sécurité proactives.
Conclusion
L'émergence de cybermenaces sophistiquées, telles que les les chevaux de Troie bancaires et les attaques de logiciels malveillants Deepfakessouligne l'urgence de renforcer les mesures de cybersécurité. Les cybercriminels continuant à innover et à s'adapter, il est impératif que les individus et les organisations gardent une longueur d'avance.
En comprenant les tactiques employées par les acteurs de la menace comme GoldFactory et en mettant en place des mesures de sécurité robustesnous pouvons collectivement atténuer les risques de cybersécurité liés aux Deepfakes et protéger nos actifs numériques.
Les sources de cet article comprennent des articles dans The Hacker News et Secure World.