5 nouvelles techniques de malware pour voler vos crypto-monnaies (2024)

Les cybercriminels ne cessent d'innover et sont particulièrement attirés par les cryptomonnaies. Peut-être que vous êtes en train d'explorer Internet sans savoir sur combien de mines terrestres vous êtes sur le point de marcher. Il n'y a rien de mal à être prudent et à se tenir au courant des dernières tendances en matière de sécurité lorsqu'il s'agit de protéger vos fonds en cryptomonnaies.

Pour vous donner une idée de l'ampleur de cette activité malfaisante pour les parties malveillantes, selon Analyse de chaîne , environ 24,2 milliards de dollars ont été reçus par des adresses cryptographiques illicites en 2023. Ne faites pas partie du prochain chiffre ! Voyons quelques nouvelles techniques de malware que vous devez connaître cette année et comment vous en protéger.

Une porte dérobée dans MacOS

Télécharger des applications à partir de sites non officiels n'est pas une bonne idée, et c'est un excellent exemple. Kaspersky Lab, une société de cybersécurité découvert plus tôt cette année, une nouvelle menace ciblant les portefeuilles de crypto-monnaie des utilisateurs de macOS, était cachée dans un logiciel piraté disponible sur des sites de torrent et de piratage.

Lorsque les utilisateurs installent ces programmes apparemment gratuits, ils autorisent sans le savoir l'installation de logiciels malveillants sur leurs ordinateurs. La première étape consiste à utiliser une application appelée « Activator », qui invite les utilisateurs à fournir un accès administrateur. Cela donne au logiciel malveillant les autorisations nécessaires pour s'installer et désactiver le fonctionnement normal du logiciel piraté, trompant les utilisateurs en leur faisant croire qu'ils ont besoin de cet Activator pour faire fonctionner le logiciel.

Une fois installé, le malware contacte un serveur distant pour télécharger d'autres instructions malveillantes. Ces instructions aident le malware à créer une porte dérobée, offrant aux pirates un accès continu à l'ordinateur infecté. L'objectif principal de ce malware est de voler des cryptomonnaies. Il remplace les applications de portefeuille légitimes comme Exodus et Bitcoin-Qt par des versions infectées.

Ces applications modifiées capturent ensuite des informations sensibles, telles que les phrases de récupération et les mots de passe des portefeuilles, et les envoient aux pirates, ce qui vide efficacement vos fonds en crypto-monnaies. Un installateur « Activator » suspect est apparu juste après que vous ayez obtenu une application « gratuite » ? Ne lui donnez pas accès et désinstallez-la immédiatement !

Vortax, les jeux Web3 et « Markopolo »

La campagne Vortax est une opération de malware trompeuse ciblant les utilisateurs de cryptomonnaies, découverte par les chercheurs de Recorded Future. Les cybercriminels derrière ce schéma Les pirates utilisent des applications fausses mais apparemment légitimes pour infecter les appareils Windows et macOS avec des logiciels malveillants qui volent des informations. Se faisant passer pour un logiciel de réunion virtuelle appelé Vortax, l'application semble crédible avec un site Web indexé par les moteurs de recherche, un blog avec des articles générés par l'IA et des comptes de réseaux sociaux sur des plateformes comme X, Telegram et Discord. L'acteur malveillant engage des discussions avec des victimes potentielles sur le thème des cryptomonnaies, les invitant à télécharger l'application Vortax sous prétexte de participer à une réunion virtuelle.

Une fois que les utilisateurs ont suivi les instructions fournies, ils sont redirigés vers des liens de téléchargement qui installent le logiciel Vortax. Cependant, au lieu d'une application fonctionnelle, les fichiers d'installation diffusent des logiciels malveillants tels que Rhadamanthys, Stealc ou Atomic Stealer (AMOS). L'application Vortax semble non fonctionnelle en raison d'erreurs délibérées, tandis qu'en arrière-plan, le logiciel malveillant commence à voler des informations sensibles, notamment des mots de passe et des phrases de départ. Une enquête plus approfondie a révélé que la campagne Vortax est liée à plusieurs domaines hébergeant des applications malveillantes similaires et de faux jeux Web3, ce qui suggère un effort bien organisé de la part de l'acteur de la menace, identifié comme Markopolo.

Les tactiques de Markopolo incluent l’exploitation des réseaux sociaux et des plateformes de messagerie pour diffuser leurs logiciels malveillants, se faisant également passer pour Les cybercriminels utilisent des marques et des jeux comme VDeck, Mindspeak, ArgonGame, DustFighter et Astration. Cette stratégie permet non seulement d'élargir leur portée, mais aussi d'augmenter la probabilité que les utilisateurs soient dupés et téléchargent le logiciel malveillant. La sophistication et l'adaptabilité de la campagne impliquent que les futures attaques pourraient devenir encore plus fréquentes, soulignant la nécessité pour les utilisateurs de faire preuve de prudence lorsqu'ils téléchargent des logiciels tiers, en particulier s'ils semblent insister de manière suspecte à ce sujet.

Pytoileur, un piège pour les développeurs Python

Les chercheurs de Sonatype ont découvert une nouvelle menace ciblant les utilisateurs de cryptomonnaies via un package Python malveillant appelé « pytoileur ». Déguisé en outil de gestion d'API légitime, pytoileur trompe les utilisateurs en les incitant à le télécharger à partir du Python Package Index (PyPI). Une fois installé, le package récupère et installe secrètement un logiciel malveillant conçu pour voler des cryptomonnaies en accédant aux informations sensibles stockées sur l'appareil de la victime.

Le paquet malveillant Le malware était habilement dissimulé dans un code apparemment innocent. Il téléchargeait un fichier exécutable dangereux qui, une fois exécuté, effectuait diverses activités malveillantes. Il s'agissait notamment de modifier les paramètres du système, de maintenir une présence sur l'appareil pour éviter d'être détecté et, surtout, de tenter de voler des cryptomonnaies dans des portefeuilles et des comptes associés à des services populaires comme Binance , Coinbase et Crypto.com . En accédant aux données du navigateur et à d'autres informations financières, le malware pouvait siphonner des actifs numériques à l'insu de la victime.

La distribution de pytoileur impliquait des tactiques d'ingénierie sociale, notamment l'exploitation de plateformes communautaires comme Stack Overflow pour inciter les développeurs à télécharger le package sous couvert de résoudre des problèmes techniques. Cet incident fait partie d'une campagne plus large « Cool package », indiquant un effort continu des cybercriminels pour cibler les utilisateurs de cryptomonnaies par le biais de méthodes sophistiquées et évolutives. Mend.io, une autre société de sécurité, a identifié plus de 100 packages malveillants sur les bibliothèques PyPI.

Les développeurs peuvent éviter les packages malveillants en les téléchargeant à partir de sources fiables, en vérifiant l'intégrité du package et en examinant le code avant utilisation. Il est également utile de se tenir au courant des avis de sécurité et d'utiliser des outils de sécurité automatisés.

P2PInfect, une menace en essaim

P2Pinfect, identifié par Cado Security, est un malware sophistiqué qui utilise un botnet peer-to-peer pour prendre le contrôle. En d'autres termes, le malware détecte si un ordinateur appartient à un réseau et infecte tous les appareils connectés pour communiquer et se contrôler directement sans s'appuyer sur un serveur central. Apparemment inactif au départ, sa forme mise à jour inclut désormais des fonctionnalités de ransomware et de crypto-mining.

En cas d'infection , il se propage principalement via des vulnérabilités dans Redis, un système de base de données populaire, permettant au malware d'exécuter des commandes arbitraires et de se propager sur les systèmes connectés. La fonction botnet assure une distribution rapide des mises à jour, en maintenant un vaste réseau d'appareils compromis, dans toute une entreprise, par exemple.

Les victimes rencontrent généralement P2Pinfect via des configurations Redis non sécurisées ou via des tentatives SSH (Secure Shell) limitées pour gérer des systèmes distants avec des informations d'identification communes. Une fois actif sur le système d'une victime, P2Pinfect installe un mineur de crypto-monnaie ciblant la crypto-monnaie Monero. Ce mineur s'active après un bref délai et génère de la crypto-monnaie en utilisant les ressources du système, en acheminant secrètement les gains vers le portefeuille de l'attaquant et en ralentissant les capacités de l'appareil.

Le composant ransomware crypte (bloque) les fichiers et exige un paiement en crypto-monnaie pour les récupérer, bien que son efficacité soit limitée en raison des autorisations typiques des serveurs Redis infectés. Le portefeuille Monero de l'attaquant a accumulé environ 71 XMR, soit environ 12 400 $. Cela illustre le succès financier de la campagne malgré l'impact potentiellement limité du ransomware en raison des données de faible valeur typiques stockées par Redis. Pour éviter ce malware, n'oubliez pas de sécuriser les configurations Redis et de surveiller régulièrement toute activité inhabituelle.

Faux AggrTrade et autres extensions malveillantes

L'extension Chrome AggrTrade, décrite par la société de sécurité SlowMist, était un outil malveillant qui trompait les utilisateurs et leur faisait perdre des sommes importantes de cryptomonnaies. L'extension se faisait passer pour un outil de trading légitime (AggrTrade) mais était conçue uniquement pour voler des fonds. Les utilisateurs l'ont installée sans le savoir, ce qui a ensuite exploité leur accès aux bourses de cryptomonnaies et aux plateformes de trading en détournant des informations sensibles (mots de passe et identifiants).

L'extension Le malware fonctionnait en capturant les cookies et autres données de session, ce qui lui permettait d'imiter les identifiants des utilisateurs et d'effectuer des transactions non autorisées. Cela a conduit au vol d'environ 1 million de dollars au total. Il a été distribué par le biais de tactiques trompeuses via les réseaux sociaux et la promotion marketing qui ont incité les victimes à le télécharger et à l'installer, souvent à partir de sources non officielles ou suspectes.

Cette menace spécifique a déjà été éliminée, mais ce n'est qu'un maigre exemple parmi de nombreuses tentatives. Actuellement, plusieurs autres extensions Chrome malveillantes se font passer pour de véritables services de trading visant à voler des crypto-monnaies. Pour vous protéger, installez uniquement des extensions provenant de sources fiables, vérifiez régulièrement les autorisations et surveillez vos comptes pour détecter toute activité inhabituelle.

N'oubliez pas non plus que toutes les extensions de navigateur sont capables de suivre l'intégralité de votre historique de navigation, de voir ce que vous faites sur chaque site et de voler des cookies et d'autres données privées. L'utilisation de portefeuilles matériels ou papier pour des montants substantiels et la mise à jour constante des logiciels de sécurité peuvent également améliorer votre protection contre de telles menaces.

Mesures de protection

Pour vous protéger contre les logiciels malveillants de vol de crypto-monnaie comme ceux-ci, vous pouvez appliquer quelques mesures de base :

• Installation à partir de sources fiables : utilisez uniquement des extensions et des logiciels provenant de sources fiables et de sites Web officiels. Vérifiez les avis et les autorisations avant l'installation.
  
• Installez le moins de logiciels possible : avant d'installer une autre application ou extension de navigateur sur votre ordinateur de bureau, réfléchissez bien si vous en avez vraiment besoin. Peut-être pouvez-vous atteindre vos objectifs avec le logiciel existant ? (C'est plus sûr sur les plateformes mobiles où chaque application est sandboxée, cependant).
  
• Contrôles de sécurité réguliers : examinez et supprimez fréquemment les extensions ou logiciels inutilisés. Vérifiez régulièrement toute activité inhabituelle sur vos comptes cryptographiques (en ligne et hors ligne) et dans votre système.
  
• Utilisez une authentification forte : activez l'authentification à deux facteurs (2FA) sur vos comptes pour ajouter une couche de sécurité supplémentaire. Portefeuilles Obyte , vous pouvez le faire en créant un compte multi-appareils à partir du menu principal ou en définissant un mot de passe de dépenses dans les paramètres.

• Utiliser des outils anti-malware : utilisez des outils antivirus et anti-malware à jour pour détecter et bloquer les menaces en ligne et hors ligne.
  
• Sécurisez vos crypto-monnaies : stockez vos actifs cryptographiques importants dans des portefeuilles matériels ou papier pour réduire votre exposition aux menaces en ligne. Grâce au portefeuille Obyte, vous pouvez facilement créer votre propre portefeuille papier en générant un textcoin (douze mots aléatoires), en l'écrivant, puis en supprimant ou en bloquant le logiciel lui-même jusqu'à ce que vous ayez besoin de dépenser les fonds.

À l'intérieur d'Obyte et au-delà, assurez-vous d'utiliser des portefeuilles sécurisés et vérifiés et suivez ces meilleures pratiques pour protéger vos actifs !

Image vectorielle en vedette par Freepik