Un nouveau malware détourne le presse-papier de ses victimes afin de dérober des crypto-monnaies

Un nou­veau mal­ware, simi­laire au désor­mais célèbre Cryp­to­Shuf­fler, a récem­ment fait sur­face. Plus sophis­ti­qué que son aîné, il peut par­ve­nir à détour­ner de nom­breux types de mon­naies numériques.

Les cryp­to-mon­naies consti­tuent une véri­table révo­lu­tion, en per­met­tant à tout un cha­cun d’en­voyer et de rece­voir des paie­ments de manière indé­pen­dante, sans avoir à obte­nir l’ac­cord d’une socié­té ou d’un État.

Mal­heu­reu­se­ment, l’ar­ri­vée d’in­no­va­tions tech­no­lo­giques sus­cite bien sou­vent l’in­té­rêt de pirates infor­ma­tiques, qui vont redou­bler d’in­gé­nio­si­té pour ten­ter d’en tirer profit.

Le der­nier cas en date : un nou­veau mal­ware bap­ti­sé « Com­bo­Jack ». Ce logi­ciel, qui a prin­ci­pa­le­ment infec­té des ordi­na­teurs amé­ri­cains et japo­nais, prend la forme d’un fichier PDF inté­grant un fichier RTF. Ce der­nier va ensuite télé­char­ger un fichier exé­cu­table qui va s’ou­vrir sur l’or­di­na­teur de sa victime.

Une fois que la machine est infec­tée, Com­bo­Jack scanne le presse-papiers de l’u­ti­li­sa­teur toutes les demi-secondes afin de voir s’il n’y trouve pas un texte cor­res­pon­dant à l’a­dresse d’un por­te­feuille de cryp­to-mon­naies. Si c’est le cas, cette adresse sera rem­pla­cée par ce qui consti­tue vrai­sem­bla­ble­ment une adresse appar­te­nant au déve­lop­peur du malware :

Le petit frère de « CryptoShuffler »

Il s’a­git d’un fonc­tion­ne­ment très simi­laire à celui de Cryp­to­Shuf­fler qui était par­ve­nu à déro­ber plus de 23 Bit­coins (soit alors l’é­qui­valent de plus de 165 000 dol­lars) à la fin de l’an­née 2017. Cette fois, c’é­tait la socié­té Kas­pers­ky Labs qui avait lan­cé l’alerte.

De son côté, Com­bo­Jack fonc­tionne avec de nom­breuses cryp­to-mon­naies. Il s’ap­puie par ailleurs sur un sys­tème de trans­mis­sion plus dis­cret – et un uti­li­sa­teur lamb­da ren­con­tre­ra sans doute des dif­fi­cul­tés pour se rendre compte de cette intrusion.

Voi­ci ce qu’ont décla­ré les cher­cheurs de Palo Alto Net­works, la socié­té amé­ri­caine spé­cia­li­sée dans la cyber­sé­cu­ri­té qui a révé­lé l’exis­tence de ce malware :

« Pour que cette tech­nique fonc­tionne, il faut que les vic­times ne véri­fient pas l’a­dresse de des­ti­na­tion avant de fina­li­ser une tran­sac­tion. En 2017, Cryp­to­Shuf­fler avait été le pre­mier logi­ciel mal­veillant à s’ap­puyer sur cette méthode. Alors que ce der­nier se foca­li­sait exclu­si­ve­ment sur le Bit­coin, Com­bo­Jack cible une large gamme d’ac­tifs numé­riques comme le Lite­coin, le Mone­ro ou encore l’Ether ».

Afin de se pré­mu­nir face à ce mal­ware, il est recom­man­dé de dis­po­ser d’une suite logi­cielle de sécu­ri­té à jour. Nous vous sug­gé­rons éga­le­ment de bien véri­fier, avant de pro­cé­der à un paie­ment en cryp­to-mon­naies, que l’a­dresse d’en­voi n’a pas été modi­fiée suite à votre copier-col­ler.

Réfé­rence : Cryp­to­vest, PaloAl­to­Net­works