MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

L'entreprise de sécurité informatique CyberArk signale un logiciel malveillant, MassJacker, qui ne fait « que » coller une adresse de cryptomonnaie possédée par des pirates à la place de la vôtre. L'occasion de rappeler qu'un logiciel piraté ou un service en ligne gratuit peut cacher des logiciels qui ne vous veulent pas que du bien.

Martin Clavey

Le 18 mars 2025 à 17h15

4 min

Sécurité

Les logiciels malveillants inclus dans certains logiciels craqués se sont adaptés au monde des cryptomonnaies. Peut-être avez-vous perdu l'habitude d'aller sur les forums WareZ qui hébergent des versions piratées de logiciels et jeux vidéo payants, mais il existe encore des sites qui s'affichent comme « votre source de jeux PC craqués ! Plongez dans notre vaste bibliothèque de jeux populaires, tous disponibles en téléchargement gratuit. À découvrir dès maintenant ! ».

C'est le slogan du site pesktop[.]com. Mais celui-ci est le début de la chaine d'infection d'un virus détecté par CyberArk. L'entreprise de sécurité informatique affirme que Pesktop « tente d'inciter les gens à télécharger toutes sortes de logiciels malveillants » mais en évoque un particulier qu'elle vient de découvrir, nommé MassJacker.

Réaction en chaine

Celui-ci est téléchargé à la suite d'une réaction en chaine déclenchée par le logiciel de départ. Celui-ci exécute un script de commande qui déclenche un script PowerShell qui, lui-même, va télécharger trois autres exécutables :

Accompagnés du botnet Amadey, les deux autres exécutables semblent être deux versions différentes d'un code dédié respectivement aux architectures 32-bit et 64-bit. CyberArk explique avoir analysé la version 32-bit. Outre des techniques en chaine pour contrer les analyses de logiciels malveillants, cet exécutable contient donc MassJacker ainsi que des fichier de configuration avec notamment des expressions régulières correspondant à des adresses de cryptomonnaies et des fichiers recovery.dat et recoverysol.dat qui listent des portefeuilles de crypto.

Expressions régulières et remplacement par un portefeuille des pirates

« MassJacker crée un gestionnaire d'événements qui s'exécute à chaque fois que la victime copie quelque chose », explique CyberArk. Si le terme copié correspond à une adresse de cryptomonnaie détectée par l'une des expressions régulières, MassJacker remplace le contenu copié par un portefeuille dont l'adresse est dans l'un des fichiers .dat. Ainsi, la victime donnera, sans s'en rendre compte, l'ordre de virer des cryptomonnaies non sur son compte mais sur l'un de ceux des pirates.

En remontant la chaine, CyberArk a retrouvé plus de 778 531 adresses de portefeuilles utilisés par les pirates mais seuls 423 contenaient effectivement de l'argent alors qu'ils les surveillaient avec un total d'un équivalent de 336 700 dollars. L'un d'entre eux contenait, à lui seul, une somme équivalente à 95 300 dollars. L'entreprise reconnait que cette évaluation peut être trompeuse, entre autres, car la valeur des crypto-monnnaies est très volatile mais aussi parce qu'une partie vient sans doute d'autres échanges.

CyberArk se demande aussi pourquoi les logiciels malveillants qui s'attaquent au portefeuilles de cryptomonnaies, appelés « cryptojackers », sont si peu connus et propose deux hypothèses. La première est qu'ils sont effectivement peu nombreux. La seconde est qu'ils sont difficiles à identifier.

En tout cas, c'est une nouvelle occasion de rappeler qu'installer un logiciel distribué par un obscur site qui propose des services gratuits n'est pas forcément une super idée.

Outils de conversion potentiellement infectés

Le FBI de Denver a publié récemment un avertissement sur un autre genre d'outils en ligne qui paraissent pourtant rendre un sacré service : les outils de conversion de fichier en ligne qui permettent de convertir un fichier doc vers un pdf ou ceux qui permettent de télécharger des fichiers mp3 ou mp4 à partir de services de diffusion en ligne.

« Les agents constatent de plus en plus souvent une escroquerie impliquant des outils de conversion de documents en ligne gratuits, et nous souhaitons encourager les victimes à signaler les cas de cette escroquerie », expliquent les services de l'agence américaine.

Le FBI explique que « ces convertisseurs et outils de téléchargement effectuent la tâche annoncée, mais le fichier résultant peut contenir des logiciels malveillants cachés permettant aux criminels d'accéder à l'ordinateur de la victime ».

« Les outils peuvent également rechercher dans les fichiers soumis :

des informations d'identification personnelle, telles que les numéros de sécurité sociale, les dates de naissance, les numéros de téléphone, etc.)
Informations bancaires
Informations sur les crypto-monnaies (phrases de départ, adresses de portefeuilles, etc.)
les adresses électroniques
mots de passe ».

Commentaires (11)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

sebmil Premium

Le 18/03/2025 à 17h47

Merci pour cet article qui fait réfléchir !

Je ne cautionne pas, mais il faut reconnaitre que ces voleurs ont de l'imagination : compromettre le copier/coller est plutôt malin dans ce cas précis.

TGViYXJidTgy Premium

Le 18/03/2025 à 17h51

Des Bitcoins, j'en ai pas mais la deuxième partie (les convertisseurs en ligne)
WTF

cyp Premium

Le 18/03/2025 à 18h55

En même temps c'est presque bizarre qu'on entende pas parler de plus de problème a ce niveau.
C'est ultra facile de réaliser une page pour un outils gratuit quelconque et attendre les gogos.
L'autre fois un collègue de boulot qui vient me voir parce qu'un fichier pour des ordres de virement (SEPA) avait été généré mal formaté et tout comptant il m'annonce qu' il avait quand même pu le faire partir après un reformatage automatique avec un outil en ligne dédié à ça (grosso modo le premier que lui a proposé une recherche google)....

Inodemus

Modifié le 19/03/2025 à 10h02

C'est marrant, j'y pensais justement il y a quelques jours en me demandant si un site malveillant que j'aurais d'ouvert pourrait accéder au presse-papiers et me changer l'adresse de destination que je venais de copier. Du coup je vérifie que l'adresse collée est correcte.

Quelqu'un ayant l'expérience du développement web pourrait-il me renseigner sur les possibilités d'accès au presse-papiers en lecture et écriture pour un site web ? C'est complètement open-bar ou pas ?

fred42 Premium

Le 19/03/2025 à 10h42

Sans être dev Web, il suffit de faire un copier qui écrase donc le copier précédent (et change l'adresse de destination). Je ne sais pas si c'est être open-bar ou pas de permettre ça.

Inodemus

Le 19/03/2025 à 17h47

Non Fred42 car on ne peut pas écrire sans arrêt dans le presse-papiers, le but c'est de le faire au bon moment quand il contient ce qu'on veut remplacer, ce qui implique de pouvoir lire le contenu discrètement.

DontCodeLikeAPig Premium

Le 19/03/2025 à 14h15

L'écriture dans le presse-papier est très permissive, c'est ce qui permet les dérives comme les tromperies sur les sites mentionnés dans l'article.
Pour la lecture c'est protégé par défaut et selon le navigateur le comportement varie.

Voici un exemple de code en ligne pour tester la lecture et l'écriture dans le presse-papier : Page codepen qui exploite les API Clipboard

Sur Firefox, lorsque je clique sur le bouton "Paste from clipboard", si ce que j'ai copié ne l'a pas été depuis le navigateur, par défaut j'ai une action "Coller" qui s'affiche sans plus d'information mais qui nécessite un 2ème clique pour coller. Par contre, je saisis du texte et que je clique sur "Copy to clipboard", lorsque je clique sur "Paste from clipboard" le texte est collé.

Sur Chrome, la copie est permissive mais le coller déclenche une demande de permission d'accéder au presse-papier ce qui est plus sécurisant et explicite.

Inodemus

Le 19/03/2025 à 17h50

Merci, en fait pour moi c'est surtout la lecture qui est critique, car on peut alors voler des trucs comme des mots de passe, des clés de chiffrement, des numéros CB... L'écriture seule n'a que peu d'intérêt je trouve, à part tenter un dépassement de buffer, je ne vois pas bien ce qu'on peut en faire sans la lecture.

L'article parle d'un logiciel malveillant, qui a donc d'autres moyens d'y accéder qu'un site web. Ma question était justement si c'était aussi possible depuis un site, à priori la réponse est non, même si ça dépend un peu du navigateur.

Berbe Premium

Le 19/03/2025 à 19h40

Un navigateur moderne fait normalement l'effort d'isoler au maximum ses opérations en fonctionnement, histoire par exemple de limiter la casse quand un site malveillant essaie de le corrompre.
Cf. https://wiki.mozilla.org/Security/Sandbox

Firefox avait communiqué abondamment sur l'amélioration de l'isolation de son fonctionnement, dont je ne me souviens plus du détail, ces dernières années.

L'idée serait donc bien en tous cas qu'un site malveillant ne puisse pas compromettre le presse-papier d'un autre onglet/site.
Peut-être la même chose pour les extensions, sauf si les permissions ont été accordées ? Mais là c'est plus dangereux, car une extension peut s'appliquer à tous les onglets.

Par contre, dans l'autre sens, si le système d'exploitation est compromis, tout fonctionnement dessus doit être considéré comme compromis.

fofo9012 Premium

Le 23/03/2025 à 09h01

Finalement c'est plus une faille by-design des cryptos : les adresses étant illisibles, impossible de contrôler qu'elles n'ont pas été altérées :-/

N'y a-t-il pas eu une finetech qui s'est fait vider des millions (milliards ?) comme ça récemment.

Il faudrait un deuxième facteur sur ces adresses de portefeuilles, un identifiant, ou une suite mathématique qui génère un numéro unique à chaque fois.

Inodemus

Modifié le 23/03/2025 à 17h41

Bof, faut surtout regarder ce qu'on fait. By design il est aussi très difficile de choisir volontairement une adresse qui ressemble à une autre, surtout à grande échelle comme ça, donc le remplacement est peu discret si on vérifie un minimum.