L’entreprise de sécurité informatique CyberArk signale un logiciel malveillant, MassJacker, qui ne fait « que » coller une adresse de cryptomonnaie possédée par des pirates à la place de la vôtre. L’occasion de rappeler qu’un logiciel piraté ou un service en ligne gratuit peut cacher des logiciels qui ne vous veulent pas que du bien.
Les logiciels malveillants inclus dans certains logiciels craqués se sont adaptés au monde des cryptomonnaies. Peut-être avez-vous perdu l’habitude d’aller sur les forums WareZ qui hébergent des versions piratées de logiciels et jeux vidéo payants, mais il existe encore des sites qui s’affichent comme « votre source de jeux PC craqués ! Plongez dans notre vaste bibliothèque de jeux populaires, tous disponibles en téléchargement gratuit. À découvrir dès maintenant ! ».
C’est le slogan du site pesktop[.]com. Mais celui-ci est le début de la chaine d’infection d’un virus détecté par CyberArk. L’entreprise de sécurité informatique affirme que Pesktop « tente d’inciter les gens à télécharger toutes sortes de logiciels malveillants » mais en évoque un particulier qu’elle vient de découvrir, nommé MassJacker.
Réaction en chaine
Celui-ci est téléchargé à la suite d’une réaction en chaine déclenchée par le logiciel de départ. Celui-ci exécute un script de commande qui déclenche un script PowerShell qui, lui-même, va télécharger trois autres exécutables :
Accompagnés du botnet Amadey, les deux autres exécutables semblent être deux versions différentes d’un code dédié respectivement aux architectures 32-bit et 64-bit. CyberArk explique avoir analysé la version 32-bit. Outre des techniques en chaine pour contrer les analyses de logiciels malveillants, cet exécutable contient donc MassJacker ainsi que des fichier de configuration avec notamment des expressions régulières correspondant à des adresses de cryptomonnaies et des fichiers recovery.dat et recoverysol.dat qui listent des portefeuilles de crypto.
Expressions régulières et remplacement par un portefeuille des pirates
« MassJacker crée un gestionnaire d’événements qui s’exécute à chaque fois que la victime copie quelque chose », explique CyberArk. Si le terme copié correspond à une adresse de cryptomonnaie détectée par l’une des expressions régulières, MassJacker remplace le contenu copié par un portefeuille dont l’adresse est dans l’un des fichiers .dat. Ainsi, la victime donnera, sans s’en rendre compte, l’ordre de virer des cryptomonnaies non sur son compte mais sur l’un de ceux des pirates.
En remontant la chaine, CyberArk a retrouvé plus de 778 531 adresses de portefeuilles utilisés par les pirates mais seuls 423 contenaient effectivement de l’argent alors qu’ils les surveillaient avec un total d’un équivalent de 336 700 dollars. L’un d’entre eux contenait, à lui seul, une somme équivalente à 95 300 dollars. L’entreprise reconnait que cette évaluation peut être trompeuse, entre autres, car la valeur des crypto-monnnaies est très volatile mais aussi parce qu’une partie vient sans doute d’autres échanges.
CyberArk se demande aussi pourquoi les logiciels malveillants qui s’attaquent au portefeuilles de cryptomonnaies, appelés « cryptojackers », sont si peu connus et propose deux hypothèses. La première est qu’ils sont effectivement peu nombreux. La seconde est qu’ils sont difficiles à identifier.
En tout cas, c’est une nouvelle occasion de rappeler qu’installer un logiciel distribué par un obscur site qui propose des services gratuits n’est pas forcément une super idée.
Outils de conversion potentiellement infectés
Le FBI de Denver a publié récemment un avertissement sur un autre genre d’outils en ligne qui paraissent pourtant rendre un sacré service : les outils de conversion de fichier en ligne qui permettent de convertir un fichier doc vers un pdf ou ceux qui permettent de télécharger des fichiers mp3 ou mp4 à partir de services de diffusion en ligne.
« Les agents constatent de plus en plus souvent une escroquerie impliquant des outils de conversion de documents en ligne gratuits, et nous souhaitons encourager les victimes à signaler les cas de cette escroquerie », expliquent les services de l’agence américaine.
Le FBI explique que « ces convertisseurs et outils de téléchargement effectuent la tâche annoncée, mais le fichier résultant peut contenir des logiciels malveillants cachés permettant aux criminels d’accéder à l’ordinateur de la victime ».
« Les outils peuvent également rechercher dans les fichiers soumis :
- des informations d’identification personnelle, telles que les numéros de sécurité sociale, les dates de naissance, les numéros de téléphone, etc.)
- Informations bancaires
- Informations sur les crypto-monnaies (phrases de départ, adresses de portefeuilles, etc.)
- les adresses électroniques
- mots de passe ».