Les crypto-stealers ont été détectés en circulation pour la première fois il y a déjà plusieurs années.
Les crypto-stealers ont été détectés en circulation pour la première fois il y a déjà plusieurs années. Cependant, à la suite de l’explosion récente des cryptomonnaies sur les marchés mondiaux, ils font aujourd’hui un retour en force, mettant une fois encore en danger les économies des utilisateurs. En enquêtant à ce sujet, les chercheurs de Kaspersky Lab ont découvert un nouveau malware, le cheval de Troie CryptoShuffler. Spécialement conçu pour le vol de cryptomonnaie, ce malware s’attaque aux utilisateurs lorsqu’ils font un copier-coller du numéro du porte-monnaie de destination au cours d’une transaction de paiement.
Cette technique du « détournement de presse-papiers » a déjà été observée précédemment, ciblant des systèmes de paiement en ligne. Toutefois, les experts pensent que les cas portant sur une adresse hôte de cryptomonnaie sont rares à l’heure actuelle.
Selon une étude de Kaspersky Lab, l’un des créateurs de CryptoShuffler opère déjà depuis un an, ciblant un large éventail des cryptomonnaies les plus répandues (Bitcoin, Ethereum, Zcash, Dash, Monero, etc.). Ce criminel a connu son pic d’activité à la fin de l’an passé, suivi d’une accalmie qui s’est prolongée jusqu’en juin 2017. A ce jour, il s’en est déjà pris avec succès à des porte-monnaie virtuels, dérobant 23 bitcoins, soit l’équivalent de près de 100 000 dollars. Les sommes totales volées dans d’autres porte-monnaie vont de quelques dollars à plusieurs milliers.
La victime type d’un crypto-stealer
Imaginez un instant être l’heureux propriétaire d’une « mine » de bitcoins en ligne. Vous continuez d’investir dans sa maintenance, notamment en frais d’électricité, et votre mine produit désormais de l’argent virtuel chaque jour. Ensuite ? Vous aimeriez probablement dépenser vos gains, convertir vos bitcoins en espèces sonnantes et trébuchantes ou bien les transférer dans un autre porte-monnaie virtuel…
Or, une fois vos transactions validées, qu’en est-il si votre argent ne prend pas la bonne direction ? En raison de l’absence de réglementation et de centralisation du marché des cryptomonnaies, vous n’avez dans ce cas aucune chance de récupérer votre argent durement gagné : celui-ci s’est bel et bien envolé. En outre, il est probable que si pareille mésaventure vous arrive, ce soit parce que votre PC a été infecté par un malware spécialement conçu dans ce but. Vous ne seriez alors que la dernière victime en date des « crypto-stealers », une menace croissante selon les études de Kaspersky Lab.
CryptoShuffler : Modus Operandi
Pour la plupart des cryptomonnaies, si un utilisateur souhaite transférer des unités à un autre, il doit connaître l’identifiant du porte-monnaie du destinataire, c’est-à-dire un numéro distinct composé de plusieurs chiffres. Voici comment le malware CryptoShuffler exploite l’utilisation de ces numéros :
Le mécanisme de CryptoShuffler est à la fois d’une grande simplicité et d’une grande efficacité. Une fois qu’il s’exécute, le cheval de Troie commence à surveiller le presse-papiers de la machine infectée. Les utilisateurs font appel à cette fonction du logiciel lorsqu’ils effectuent un paiement : ils copient un numéro de porte-monnaie et le collent dans le champ « adresse de destination » du logiciel employé pour la transaction. Or le cheval de Troie remplace l’adresse du porte-monnaie de l’utilisateur par celle d’un autre appartenant au créateur du malware. Par conséquent, lorsque l’utilisateur colle l’identifiant du porte-monnaie dans l’adresse de destination, ce n’est déjà plus celui du destinataire souhaité au départ, si bien que la victime transfère directement son argent à des criminels. Seuls les utilisateurs les plus attentifs s’aperçoivent de ce tour de passe-passe.
Le cheval de Troie n’a besoin que de quelques millisecondes pour substituer la destination, en raison de la facilité avec laquelle il est possible d’identifier les adresses de porte-monnaie. La majorité des cryptomonnaies utilisent en effet des adresses commençant de la même façon et comportant un certain nombre de caractères. Des intrus peuvent ainsi créer sans difficulté des codes de remplacement valables.
Avec ce stratagème, les criminels exploitent le manque d’attention des utilisateurs qui, lorsqu’ils effectuent un paiement, ne vérifient généralement pas leur numéro à plusieurs chiffres. En outre, les adresses de porte-monnaie dans le système de la blockchain sont complexes et très difficiles à mémoriser. Les utilisateurs ne prêtent guère d’attention aux détails de la ligne de transaction, même si elle se trouve juste sous leurs yeux et même si une légère modification pourrait leur coûter très cher
« La cryptomonnaie n’est plus une technologie de demain. Elle fait déjà partie intégrante de notre quotidien, se répand activement à travers le monde, devient plus accessible pour les utilisateurs et constitue une cible de plus en plus tentante pour les criminels. Dernièrement, nous avons observé une recrudescence des attaques de malware ciblant différents types de cryptomonnaies et nous nous attendons à voir cette tendance se poursuivre. C’est pourquoi les utilisateurs envisageant d’investir dans une cryptomonnaie doivent penser à protéger soigneusement leur investissement »,commente Sergey Yunakovsky, analyste en malware chez Kaspersky Lab.
Le cheval de Troie CryptoShuffler n’est pas le seul malware à traquer les économies des utilisateurs de cryptomonnaies. A la suite d’un récent rapport de Kaspersky Lab sur les botnets « mineurs », les experts ont trouvé un autre cheval de Troie nommé DiscordiaMiner, exploitant la cryptomonnaie Monero. Ce dernier est conçu pour télécharger et exécuter des fichiers depuis un serveur distant. Selon l’étude, son fonctionnement présente certaines similitudes avec le cheval de Troie NukeBot, découvert au début de cette année.
Comment se protéger ?
La méthode la plus simple et la moins coûteuse consiste à se montrer très attentif pendant les transactions et à vérifier systématiquement que le numéro de porte-monnaie affiché dans le champ « adresse de destination » est bien celui auquel vous souhaitez effectuer un transfert de fonds. Vous devez également avoir conscience de la différence entre une adresse non valide et une adresse incorrecte. Dans le premier cas, l’erreur sera détectée et la transaction n’aura pas lieu. Dans le second, vous ne reverrez jamais votre argent.
Une autre méthode pour se protéger consiste en l’installation d’une solution de sécurité, à l’exemple de la fonction Safe Money dans les principaux produits de Kaspersky Lab. Celle-ci recherche les vulnérabilités connues pour être exploitées par des cybercriminels, vérifie constamment la présence éventuelle de malware spécialisé et protège les transactions contre les intrus à l’aide de la technologie Protected Browser. De plus, elle protège spécifiquement le presse-papiers, où des données sensibles pourraient être stockées brièvement pendant un copier-coller.
Les produits Kaspersky Lab détectent et bloquent avec succès ces malwares sous les noms suivants :
- Trojan-Banker.Win32.CryptoShuffler.gen
- Win32.DiscordiaMiner
Pour en savoir plus sur les mineurs malveillants nouvellement découverts, rendez-vous sur Securelist.com.