Electron

Un faux « AppSuite PDF Editor » cache un backdoor actif : analyse technique et IoCs

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Un faux paquet npm imite Nodemailer et draine des portefeuilles crypto en modifiant Atomic/Exodus sous Windows

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

Nouvelle campagne de malware utilisant des jeux vidéo factices

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...