Voleur de Doenerium

Doenerium est un voleur d'informations malveillant déguisé en outil de suppression de logiciels malveillants Windows. Il vole les données des portefeuilles de crypto-monnaie, des navigateurs et de la mémoire du presse-papiers, ainsi que des informations système. Il permet également aux acteurs de la menace d'exploiter la crypto-monnaie sur des ordinateurs compromis en détournant leurs ressources matérielles.

Une fois exécuté sur l'appareil de la victime, le logiciel malveillant crée d'abord un dossier d'exfiltration qui contient d'autres dossiers utilisés par Doenerium. La menace cible plusieurs cryptowallets de premier plan, notamment Ethereum, Armory, AtomicWallet, Electrum, Bytecoin, Coinomi, Guarda, Jaxx et Zcash. Les informations volées sont ensuite collectées dans un dossier nommé "Wallets". De plus, Doenerium collecte les jetons Discord et les données du navigateur, telles que les détails de remplissage automatique, les signets, les cookies et les mots de passe.

De plus, la menace porte un module clipper, qui lui permet d'analyser la mémoire du presse-papiers du système infecté à la recherche d'adresses de portefeuille de crypto-monnaie. Si une telle correspondance est trouvée, Doenerium Stealer remplacera les données sauvegardées de la victime par l'adresse du cryptowallet de l'attaquant. En conséquence, la transaction déposera les fonds sur le compte des cybercriminels, laissant aux victimes peu d'options pour récupérer leur argent.

Après avoir collecté les données ciblées, Doenerium les compresse dans un fichier d'archive .ZIP et les envoie à une plateforme gratuite de partage de fichiers ou de stockage. Une fois les informations volées téléchargées, Doenerium supprime les modifications qu'il a apportées au système en supprimant le fichier ZIP et son dossier d'exfiltration de l'appareil de la victime.