La société slovaque de cybersécurité ESET a découvert une nouvelle famille de logiciels malveillants susceptibles d'exploiter et de voler Bitcoin, Ethereum et Monero, ainsi que d'exfiltrer des fichiers liés aux crypto-monnaies.
Une enquête menée par ESET révèle une nouvelle famille de logiciels malveillants, connus sous le nom de KryptoCibule, qui est capable de voler Bitcoin (BTC), exploiter des crypto-monnaies comme Ethereum (ETH) y Monero (XMR) et exfiltrer les fichiers liés à ces crypto-monnaies. Selon le rapport, en raison du mode de fonctionnement de ces logiciels malveillants, KryptoCibule représente une triple menace pour la sécurité des utilisateurs et de ces actifs numériques.
Plus précisément, KryptoCibule utilise les ressources informatiques de la victime pour extraire des crypto-monnaies, tout en prenant le contrôle des transactions effectuées à partir d'un appareil infecté, en modifiant les adresses cryptographiques pour diriger les fonds vers une adresse inconnue contrôlée par l'attaquant. De même, KryptoCibule peut exfiltrer ou extraire des fichiers contenant des données et des informations confidentielles à partir d'appareils, tout en obscurcissant ses opérations via le réseau. Tor et le protocole BitTorrent.
El signaler ESET révèle également que cette famille de malwares est écrite en langage C# et utilise d'autres logiciels et serveurs avec des licences légitimes, comme BitTorrent et Tor, tout en téléchargeant d'autres serveurs en arrière-plan, comme Apache httpd y SFTP Buru. De même, ESET révèle que, bien qu'il s'agisse d'une famille de malwares non documentée, les enquêtes indiquent qu'elle est active depuis 2018 et que plusieurs des malwares qui la composent ont évolué en ajoutant de nouvelles et puissantes fonctionnalités.
Il peut vous intéresser: Anubis, le nouveau malware capable de voler les identifiants d'un portefeuille de cryptomonnaie
Comment fonctionne KryptoCibule ?
"KryptoCibule dispose de trois composants qui exploitent les hôtes infectés pour obtenir de la crypto-monnaie : le minage de crypto-monnaie, le détournement du presse-papiers et l'exfiltration de fichiers."
Pour infecter les appareils, KryptoCibule se propage via des torrents malveillants de fichiers ZIP, qui semblent être des logiciels et des installateurs de jeux piratés, mais une fois exécutés, décodent les fichiers d'installation attendus avec le malware. Une fois installé, KryptoCibule commence à fonctionner sur l'appareil infecté sans avertir la victime que quelque chose ne va pas.
Premièrement, KryptoCibule détourne les applications de portefeuille de crypto-monnaie pour échanger des adresses et rediriger les fonds vers un portefeuille contrôlé par le pirate informatique via le AddClipboardFormatListenerAddClipboardFormatListener. Les chercheurs soulignent que cette méthode ou ce composant est le plus exploité pour obtenir le plus d'argent possible auprès des victimes. Deuxièmement, KryptoCibule détourne et utilise la puissance de calcul du CPU ou du GPU infecté pour exploiter crypto-monnaies tels que Monero (XMR) et Ethereum (ETH), respectivement. Cette activité, connue sous le nom cryptojacking, permet aux pirates de se connecter à un serveur de minage contrôlé par eux depuis l'appareil infecté, pour bénéficier des fonds et récompenses obtenus par le minage.
Enfin, le malware a le potentiel d’explorer toutes les données et tous les fichiers pour identifier et extraire toute information intéressante liée aux crypto-monnaies, comme les mots de passe, entre autres. De même, selon les chercheurs, lorsque KryptoCibule est exécuté pour la première fois, un identifiant unique est attribué à l'hôte, ce qui permet à l'hôte d'être reconnu dans les communications avec les serveurs de commande et de contrôle. Le format de cet identifiant permet de prélever des mots aléatoires qui fournissent plus de 10 millions de combinaisons, ce qui rend assez difficile l'identification de l'endroit où sont donnés les ordres aux ordinateurs infectés par des logiciels malveillants.
Selon le rapport, la majorité des victimes, soit environ 85 % de toutes les attaques, se trouvent en Slovaquie et en République tchèque. Et si ces pays sont la cible des pirates qui exécutent ce malware, c'est parce que la majorité des torrents malveillants étaient hébergés sur le portail numérique. uloz.à, l'un des sites de partage de fichiers les plus populaires dans ces pays européens.
À propos d'ESET
ESET est une entreprise possédant une vaste expérience et une vaste expérience qui fournit des solutions de sécurité informatique dans plus de 200 pays à travers le monde. L'entreprise est le créateur du célèbre logiciel antivirus ESET NOD32, l'un de ses produits les plus célèbres et les plus acclamés.
Les solutions de sécurité ESET s'adressent aussi bien aux entreprises qu'aux utilisateurs ordinaires. ESET propose des produits innovants, performants et simples d'utilisation pour garantir la protection et la sécurité des informations, aussi bien sur les appareils mobiles que sur les ordinateurs, terminaux et bien d'autres. Les produits de sécurité ESET évoluent constamment pour fournir des solutions de sécurité efficaces et en temps réel à tous ses clients et utilisateurs.
Continuer la lecture: Le groupe Lazarus cible le vol de crypto-monnaie avec des attaques de phishing
