Crypto-stealers, la nouvelle menace liée aux cryptomonnaies et à la blockchain

Publié le 6 Novembre 2017
Après les ransomwares, une nouvelle menace se profile : les crypto-stealers. Détectés pour la première fois il y a plusieurs années, ils font aujourd'hui leur retour en force suite à l’explosion des cryptomonnaies. Les chercheurs de Kaspersky Lab ont même découvert une variante particulièrement vicieuse baptisée CryptoShuffler.

Spécialement conçu pour le vol de cryptomonnaie, ce malware s’attaque aux utilisateurs lorsqu’ils font un copier-coller du numéro du porte-monnaie de destination au cours d’une transaction de paiement. Cette technique du « détournement de presse-papiers » a déjà été observée précédemment, ciblant des systèmes de paiement en ligne. Selon une étude de Kaspersky Lab, l’un des créateurs de CryptoShuffler opère déjà depuis un an, ciblant un large éventail des cryptomonnaies les plus répandues (Bitcoin, Ethereum, Zcash, Dash, Monero, etc.). Ce criminel a connu son pic d’activité à la fin de l’année dernière, suivi d’une accalmie qui s’est prolongée jusqu’en juin 2017. Á ce jour, il s’en est déjà pris avec succès à des porte-monnaie virtuels, dérobant 23 bitcoins, soit l’équivalent de près de 100 000 dollars. Les sommes totales volées dans d’autres porte-monnaie vont de quelques dollars à plusieurs milliers.

Imaginez un instant être l’heureux propriétaire d’une « mine » de bitcoins en ligne. Vous aimeriez certainement convertir vos bitcoins en espèces sonnantes et trébuchantes ou bien les transférer dans un autre porte-monnaie virtuel. Or, une fois vos transactions validées, que se passe-t-il si l'argent ne prend pas la bonne direction ? En raison de l’absence de réglementation et de centralisation du marché des cryptomonnaies, vous n’avez dans ce cas aucune chance de récupérer votre argent durement gagné : celui-ci s’est bel et bien envolé. En outre, il est probable que si pareille mésaventure vous arrive, ce soit parce que votre PC a été infecté par un malware spécialement conçu dans ce but. Vous ne seriez alors que la dernière victime en date des « crypto-stealers », une menace croissante selon les études de Kaspersky Lab.

Le mécanisme de CryptoShuffler est simple et efficace. Une fois qu’il s’exécute, le cheval de Troie commence à surveiller le presse-papiers de la machine infectée. Les utilisateurs font appel à cette fonction du logiciel lorsqu’ils effectuent un paiement : ils copient un numéro de porte-monnaie et le collent dans le champ « adresse de destination » du logiciel employé pour la transaction. Or le cheval de Troie remplace l’adresse du porte-monnaie de l’utilisateur par celle d’un autre appartenant au créateur du malware. Par conséquent, lorsque l’utilisateur colle l’identifiant du porte-monnaie dans l’adresse de destination, ce n’est déjà plus celui du destinataire souhaité au départ, si bien que la victime transfère directement son argent à des criminels. Seuls les utilisateurs les plus attentifs s’aperçoivent de ce tour de passe-passe.Le cheval de Troie n’a besoin que de quelques millisecondes pour substituer la destination, en raison de la facilité avec laquelle il est possible d’identifier les adresses de porte-monnaie. La majorité des cryptomonnaies utilisent en effet des adresses commençant de la même façon et comportant un certain nombre de caractères. Des intrus peuvent ainsi créer sans difficulté des codes de remplacement valables. Et CryptoShuffler n’est pas le seul malware à traquer les économies des utilisateurs de cryptomonnaies. Il y en a d'autres, notamment DiscordiaMiner, exploitant la cryptomonnaie Monero, ou encore NukeBot, découvert au début de cette année.

La méthode la plus simple et la moins coûteuse pour se protéger est d'être particulièrement vigilant pendant les transactions et de vérifier systématiquement que le numéro de porte-monnaie affiché dans le champ « adresse de destination » est bien celui auquel vous souhaitez effectuer un transfert de fonds. Vous devez également avoir conscience de la différence entre une adresse non valide et une adresse incorrecte. Dans le premier cas, l’erreur sera détectée et la transaction n’aura pas lieu. Dans le second, vous ne reverrez jamais votre argent.

Autre solution : installer une solution de sécurité, comme la fonction Safe Money (incluse dans les principaux produits de Kaspersky Lab). Celle-ci recherche les vulnérabilités connues pour être exploitées par des cybercriminels, vérifie constamment la présence éventuelle de malware spécialisé et protège les transactions contre les intrus à l’aide de la technologie Protected Browser. De plus, elle protège spécifiquement le presse-papiers, où des données sensibles pourraient être stockées brièvement pendant un copier-coller.
Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires