Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

L'entreprise de sécurité informatique CyberArk signale un logiciel malveillant, MassJacker, qui ne fait « que » coller une adresse de cryptomonnaie possédée par des pirates à la place de la vôtre. L'occasion de rappeler qu'un logiciel piraté ou un service en ligne gratuit peut cacher des logiciels qui ne vous veulent pas que du bien.

Le 18 mars à 17h15

Les logiciels malveillants inclus dans certains logiciels craqués se sont adaptés au monde des cryptomonnaies. Peut-être avez-vous perdu l'habitude d'aller sur les forums WareZ qui hébergent des versions piratées de logiciels et jeux vidéo payants, mais il existe encore des sites qui s'affichent comme « votre source de jeux PC craqués ! Plongez dans notre vaste bibliothèque de jeux populaires, tous disponibles en téléchargement gratuit. À découvrir dès maintenant ! ».

C'est le slogan du site pesktop[.]com. Mais celui-ci est le début de la chaine d'infection d'un virus détecté par CyberArk. L'entreprise de sécurité informatique affirme que Pesktop « tente d'inciter les gens à télécharger toutes sortes de logiciels malveillants » mais en évoque un particulier qu'elle vient de découvrir, nommé MassJacker.

Réaction en chaine

Celui-ci est téléchargé à la suite d'une réaction en chaine déclenchée par le logiciel de départ. Celui-ci exécute un script de commande qui déclenche un script PowerShell qui, lui-même, va télécharger trois autres exécutables :

Accompagnés du botnet Amadey, les deux autres exécutables semblent être deux versions différentes d'un code dédié respectivement aux architectures 32-bit et 64-bit. CyberArk explique avoir analysé la version 32-bit. Outre des techniques en chaine pour contrer les analyses de logiciels malveillants, cet exécutable contient donc MassJacker ainsi que des fichier de configuration avec notamment des expressions régulières correspondant à des adresses de cryptomonnaies et des fichiers recovery.dat et recoverysol.dat qui listent des portefeuilles de crypto.

Expressions régulières et remplacement par un portefeuille des pirates

« MassJacker crée un gestionnaire d'événements qui s'exécute à chaque fois que la victime copie quelque chose », explique CyberArk. Si le terme copié correspond à une adresse de cryptomonnaie détectée par l'une des expressions régulières, MassJacker remplace le contenu copié par un portefeuille dont l'adresse est dans l'un des fichiers .dat. Ainsi, la victime donnera, sans s'en rendre compte, l'ordre de virer des cryptomonnaies non sur son compte mais sur l'un de ceux des pirates.

En remontant la chaine, CyberArk a retrouvé plus de 778 531 adresses de portefeuilles utilisés par les pirates mais seuls 423 contenaient effectivement de l'argent alors qu'ils les surveillaient avec un total d'un équivalent de 336 700 dollars. L'un d'entre eux contenait, à lui seul, une somme équivalente à 95 300 dollars. L'entreprise reconnait que cette évaluation peut être trompeuse, entre autres, car la valeur des crypto-monnnaies est très volatile mais aussi parce qu'une partie vient sans doute d'autres échanges.

CyberArk se demande aussi pourquoi les logiciels malveillants qui s'attaquent au portefeuilles de cryptomonnaies, appelés « cryptojackers », sont si peu connus et propose deux hypothèses. La première est qu'ils sont effectivement peu nombreux. La seconde est qu'ils sont difficiles à identifier.

En tout cas, c'est une nouvelle occasion de rappeler qu'installer un logiciel distribué par un obscur site qui propose des services gratuits n'est pas forcément une super idée.

Outils de conversion potentiellement infectés

Le FBI de Denver a publié récemment un avertissement sur un autre genre d'outils en ligne qui paraissent pourtant rendre un sacré service : les outils de conversion de fichier en ligne qui permettent de convertir un fichier doc vers un pdf ou ceux qui permettent de télécharger des fichiers mp3 ou mp4 à partir de services de diffusion en ligne.

« Les agents constatent de plus en plus souvent une escroquerie impliquant des outils de conversion de documents en ligne gratuits, et nous souhaitons encourager les victimes à signaler les cas de cette escroquerie », expliquent les services de l'agence américaine.

Le FBI explique que « ces convertisseurs et outils de téléchargement effectuent la tâche annoncée, mais le fichier résultant peut contenir des logiciels malveillants cachés permettant aux criminels d'accéder à l'ordinateur de la victime ».

« Les outils peuvent également rechercher dans les fichiers soumis :

  • des informations d'identification personnelle, telles que les numéros de sécurité sociale, les dates de naissance, les numéros de téléphone, etc.)
  • Informations bancaires
  • Informations sur les crypto-monnaies (phrases de départ, adresses de portefeuilles, etc.)
  • les adresses électroniques
  • mots de passe ».

Commentaires (11)

votre avatar
Merci pour cet article qui fait réfléchir !

Je ne cautionne pas, mais il faut reconnaitre que ces voleurs ont de l'imagination : compromettre le copier/coller est plutôt malin dans ce cas précis.
votre avatar
Des Bitcoins, j'en ai pas mais la deuxième partie (les convertisseurs en ligne)
WTF :eeek2:
votre avatar
En même temps c'est presque bizarre qu'on entende pas parler de plus de problème a ce niveau.
C'est ultra facile de réaliser une page pour un outils gratuit quelconque et attendre les gogos.
L'autre fois un collègue de boulot qui vient me voir parce qu'un fichier pour des ordres de virement (SEPA) avait été généré mal formaté et tout comptant il m'annonce qu' il avait quand même pu le faire partir après un reformatage automatique avec un outil en ligne dédié à ça (grosso modo le premier que lui a proposé une recherche google)....
votre avatar
C'est marrant, j'y pensais justement il y a quelques jours en me demandant si un site malveillant que j'aurais d'ouvert pourrait accéder au presse-papiers et me changer l'adresse de destination que je venais de copier. Du coup je vérifie que l'adresse collée est correcte.

Quelqu'un ayant l'expérience du développement web pourrait-il me renseigner sur les possibilités d'accès au presse-papiers en lecture et écriture pour un site web ? C'est complètement open-bar ou pas ?
votre avatar
Sans être dev Web, il suffit de faire un copier qui écrase donc le copier précédent (et change l'adresse de destination). Je ne sais pas si c'est être open-bar ou pas de permettre ça.
votre avatar
Non Fred42 car on ne peut pas écrire sans arrêt dans le presse-papiers, le but c'est de le faire au bon moment quand il contient ce qu'on veut remplacer, ce qui implique de pouvoir lire le contenu discrètement.
votre avatar
L'écriture dans le presse-papier est très permissive, c'est ce qui permet les dérives comme les tromperies sur les sites mentionnés dans l'article.
Pour la lecture c'est protégé par défaut et selon le navigateur le comportement varie.

Voici un exemple de code en ligne pour tester la lecture et l'écriture dans le presse-papier : Page codepen qui exploite les API Clipboard

Sur Firefox, lorsque je clique sur le bouton "Paste from clipboard", si ce que j'ai copié ne l'a pas été depuis le navigateur, par défaut j'ai une action "Coller" qui s'affiche sans plus d'information mais qui nécessite un 2ème clique pour coller. Par contre, je saisis du texte et que je clique sur "Copy to clipboard", lorsque je clique sur "Paste from clipboard" le texte est collé.

Sur Chrome, la copie est permissive mais le coller déclenche une demande de permission d'accéder au presse-papier ce qui est plus sécurisant et explicite.
votre avatar
Merci, en fait pour moi c'est surtout la lecture qui est critique, car on peut alors voler des trucs comme des mots de passe, des clés de chiffrement, des numéros CB... L'écriture seule n'a que peu d'intérêt je trouve, à part tenter un dépassement de buffer, je ne vois pas bien ce qu'on peut en faire sans la lecture.

L'article parle d'un logiciel malveillant, qui a donc d'autres moyens d'y accéder qu'un site web. Ma question était justement si c'était aussi possible depuis un site, à priori la réponse est non, même si ça dépend un peu du navigateur.
votre avatar
Un navigateur moderne fait normalement l'effort d'isoler au maximum ses opérations en fonctionnement, histoire par exemple de limiter la casse quand un site malveillant essaie de le corrompre.
Cf. https://wiki.mozilla.org/Security/Sandbox

Firefox avait communiqué abondamment sur l'amélioration de l'isolation de son fonctionnement, dont je ne me souviens plus du détail, ces dernières années.

L'idée serait donc bien en tous cas qu'un site malveillant ne puisse pas compromettre le presse-papier d'un autre onglet/site.
Peut-être la même chose pour les extensions, sauf si les permissions ont été accordées ? Mais là c'est plus dangereux, car une extension peut s'appliquer à tous les onglets.

Par contre, dans l'autre sens, si le système d'exploitation est compromis, tout fonctionnement dessus doit être considéré comme compromis.
votre avatar
Finalement c'est plus une faille by-design des cryptos : les adresses étant illisibles, impossible de contrôler qu'elles n'ont pas été altérées :-/

N'y a-t-il pas eu une finetech qui s'est fait vider des millions (milliards ?) comme ça récemment.

Il faudrait un deuxième facteur sur ces adresses de portefeuilles, un identifiant, ou une suite mathématique qui génère un numéro unique à chaque fois.
votre avatar
Bof, faut surtout regarder ce qu'on fait. By design il est aussi très difficile de choisir volontairement une adresse qui ressemble à une autre, surtout à grande échelle comme ça, donc le remplacement est peu discret si on vérifie un minimum.

MassJacker, le malware qui détourne les transferts de crypto via le simple copier/coller

  • Réaction en chaine

  • Expressions régulières et remplacement par un portefeuille des pirates

  • Outils de conversion potentiellement infectés

Fermer