Quantcast
Channel: Next - Flux Complet
Viewing all articles
Browse latest Browse all 4297
↧

MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

March 18, 2025, 10:13 am
$
0
0
MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

L’entreprise de sĂ©curitĂ© informatique CyberArk signale un logiciel malveillant, MassJacker, qui ne fait « que » coller une adresse de cryptomonnaie possĂ©dĂ©e par des pirates Ă  la place de la vĂŽtre. L’occasion de rappeler qu’un logiciel piratĂ© ou un service en ligne gratuit peut cacher des logiciels qui ne vous veulent pas que du bien.

Les logiciels malveillants inclus dans certains logiciels craquĂ©s se sont adaptĂ©s au monde des cryptomonnaies. Peut-ĂȘtre avez-vous perdu l’habitude d’aller sur les forums WareZ qui hĂ©bergent des versions piratĂ©es de logiciels et jeux vidĂ©o payants, mais il existe encore des sites qui s’affichent comme « votre source de jeux PC craquĂ©s ! Plongez dans notre vaste bibliothĂšque de jeux populaires, tous disponibles en tĂ©lĂ©chargement gratuit. À dĂ©couvrir dĂšs maintenant ! ».

C’est le slogan du site pesktop[.]com. Mais celui-ci est le dĂ©but de la chaine d’infection d’un virus dĂ©tectĂ© par CyberArk. L’entreprise de sĂ©curitĂ© informatique affirme que Pesktop « tente d’inciter les gens Ă  tĂ©lĂ©charger toutes sortes de logiciels malveillants » mais en Ă©voque un particulier qu’elle vient de dĂ©couvrir, nommĂ© MassJacker.

RĂ©action en chaine

Celui-ci est tĂ©lĂ©chargĂ© Ă  la suite d’une rĂ©action en chaine dĂ©clenchĂ©e par le logiciel de dĂ©part. Celui-ci exĂ©cute un script de commande qui dĂ©clenche un script PowerShell qui, lui-mĂȘme, va tĂ©lĂ©charger trois autres exĂ©cutables :

AccompagnĂ©s du botnet Amadey, les deux autres exĂ©cutables semblent ĂȘtre deux versions diffĂ©rentes d’un code dĂ©diĂ© respectivement aux architectures 32-bit et 64-bit. CyberArk explique avoir analysĂ© la version 32-bit. Outre des techniques en chaine pour contrer les analyses de logiciels malveillants, cet exĂ©cutable contient donc MassJacker ainsi que des fichier de configuration avec notamment des expressions rĂ©guliĂšres correspondant Ă  des adresses de cryptomonnaies et des fichiers recovery.dat et recoverysol.dat qui listent des portefeuilles de crypto.

Expressions réguliÚres et remplacement par un portefeuille des pirates

« MassJacker crĂ©e un gestionnaire d’évĂ©nements qui s’exĂ©cute Ă  chaque fois que la victime copie quelque chose », explique CyberArk. Si le terme copiĂ© correspond Ă  une adresse de cryptomonnaie dĂ©tectĂ©e par l’une des expressions rĂ©guliĂšres, MassJacker remplace le contenu copiĂ© par un portefeuille dont l’adresse est dans l’un des fichiers .dat. Ainsi, la victime donnera, sans s’en rendre compte, l’ordre de virer des cryptomonnaies non sur son compte mais sur l’un de ceux des pirates.

En remontant la chaine, CyberArk a retrouvĂ© plus de 778 531 adresses de portefeuilles utilisĂ©s par les pirates mais seuls 423 contenaient effectivement de l’argent alors qu’ils les surveillaient avec un total d’un Ă©quivalent de 336 700 dollars. L’un d’entre eux contenait, Ă  lui seul, une somme Ă©quivalente Ă  95 300 dollars. L’entreprise reconnait que cette Ă©valuation peut ĂȘtre trompeuse, entre autres, car la valeur des crypto-monnnaies est trĂšs volatile mais aussi parce qu’une partie vient sans doute d’autres Ă©changes.

CyberArk se demande aussi pourquoi les logiciels malveillants qui s’attaquent au portefeuilles de cryptomonnaies, appelĂ©s « cryptojackers », sont si peu connus et propose deux hypothĂšses. La premiĂšre est qu’ils sont effectivement peu nombreux. La seconde est qu’ils sont difficiles Ă  identifier.

En tout cas, c’est une nouvelle occasion de rappeler qu’installer un logiciel distribuĂ© par un obscur site qui propose des services gratuits n’est pas forcĂ©ment une super idĂ©e.

Outils de conversion potentiellement infectés

Le FBI de Denver a publiĂ© rĂ©cemment un avertissement sur un autre genre d’outils en ligne qui paraissent pourtant rendre un sacrĂ© service : les outils de conversion de fichier en ligne qui permettent de convertir un fichier doc vers un pdf ou ceux qui permettent de tĂ©lĂ©charger des fichiers mp3 ou mp4 Ă  partir de services de diffusion en ligne.

« Les agents constatent de plus en plus souvent une escroquerie impliquant des outils de conversion de documents en ligne gratuits, et nous souhaitons encourager les victimes Ă  signaler les cas de cette escroquerie », expliquent les services de l’agence amĂ©ricaine.

Le FBI explique que « ces convertisseurs et outils de tĂ©lĂ©chargement effectuent la tĂąche annoncĂ©e, mais le fichier rĂ©sultant peut contenir des logiciels malveillants cachĂ©s permettant aux criminels d’accĂ©der Ă  l’ordinateur de la victime ».

« Les outils peuvent également rechercher dans les fichiers soumis :

  • des informations d’identification personnelle, telles que les numĂ©ros de sĂ©curitĂ© sociale, les dates de naissance, les numĂ©ros de tĂ©lĂ©phone, etc.)
  • Informations bancaires
  • Informations sur les crypto-monnaies (phrases de dĂ©part, adresses de portefeuilles, etc.)
  • les adresses Ă©lectroniques
  • mots de passe ».
↧
Search
Viewing all articles
Browse latest Browse all 4297
Search