- Publicité -


Un nouveau malware baptisé Keona Clipper vise à voler les crypto-monnaies des ordinateurs infectés et utilise Telegram pour augmenter sa furtivité. En savoir plus sur ce qu’est la menace du logiciel malveillant Clipper et comment s’en protéger.

Virus sur ordinateur portable, malware ou vecteur de vulnérabilité réseau
Image : ~ Amer ~/Adobe Stock

Qu’est-ce qu’un logiciel malveillant clipper ?

Un malware clipper est un logiciel qui, une fois exécuté sur un ordinateur, vérifie en permanence le contenu du presse-papiers de l’utilisateur et recherche des portefeuilles de crypto-monnaie. Si l’utilisateur copie et colle le portefeuille quelque part, il est remplacé par un autre portefeuille, propriété du cybercriminel.

- Publicité -

De cette façon, si un utilisateur sans méfiance utilise une interface pour envoyer un paiement en crypto-monnaie à un portefeuille, ce qui se fait généralement en copiant et collant un portefeuille de destination légitime, il est remplacé par le portefeuille frauduleux.

VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)

Le malware Clipper n’est pas une nouvelle menace, mais il est inconnu de la plupart des utilisateurs et des entreprises. Le premier malware clipper est apparu en 2017 sur les systèmes d’exploitation Windows. De tels logiciels malveillants sont également apparus sur le Google Play Store en 2019. Ce logiciel malveillant se faisait passer pour MetaMask, un portefeuille crypto populaire, et visait à voler des informations d’identification et des clés privées pour voler des fonds Ethereum aux victimes, en plus de changer les portefeuilles dans le presse-papiers pour obtenir plus crypto-monnaie.

Les attaques Clipper fonctionnent très bien en raison de la longueur des portefeuilles de crypto-monnaies. Les personnes transférant des crypto-monnaies de leur portefeuille à un autre vérifient rarement que le résultat du copier/coller est bien celui qui est fourni par un destinataire légitime.

Qu’est-ce que Keona Clipper ?

Les chercheurs de Cyble ont analysé un nouveau malware Clipper nommé Keona Clipper par son développeur (Figure A).

Figure A

keona figa
Image : Cyble. Logiciel malveillant Keona Clipper tel qu’annoncé sur un forum russophone du Dark Web.

Le malware est vendu en tant que service au prix de 49 $ pour un mois.

Keona Clipper a été développé dans le langage de programmation .NET et protégé par Confuser 1.x. Cet outil protège les applications .NET en renommant les symboles, en obscurcissant le flux de contrôle, en chiffrant les constantes et les ressources, en utilisant des protections contre le débogage, le vidage de mémoire, la falsification et la désactivation des décompilateurs, ce qui rend plus difficile l’analyse par les rétro-ingénieurs.

Les chercheurs de Cyble ont pu identifier plus de 90 échantillons de Keona différents depuis mai 2022, montrant un large déploiement. La différence entre ces échantillons Keona pourrait être de légères modifications dans le code, ou simplement le résultat de plusieurs utilisations du protecteur Confuser, qui générerait un binaire différent à chaque fois qu’un échantillon est soumis pour éviter d’être détecté par des solutions de sécurité basées uniquement sur la signature de fichier. .

Capacités anti-malware de Keona Clipper

Une fois exécuté, le logiciel malveillant communique avec un bot Telegram contrôlé par l’attaquant via l’API Telegram. La première communication du malware au bot contient un message écrit en russe qui peut être traduit par « le clipper a démarré sur l’ordinateur » et contient le nom d’utilisateur de l’utilisateur dont le compte est utilisé par le malware.

Le logiciel malveillant s’assure également qu’il sera toujours exécuté, même si l’ordinateur redémarre. Pour garantir cette persistance, le logiciel malveillant se copie à plusieurs emplacements, y compris le dossier Outils d’administration et le dossier Démarrage. Des entrées de démarrage automatique dans le registre Windows sont également créées pour garantir que le logiciel malveillant est exécuté à chaque redémarrage de l’ordinateur.

Keona Clipper surveille ensuite discrètement toute activité du presse-papiers et utilise des expressions régulières pour vérifier les portefeuilles de crypto-monnaie. Keona Clipper peut voler plus d’une douzaine de crypto-monnaies différentes : BTC, ETH, LTC, XMR, XLM, XRP, NEC, BCH, ZCASH, BNB, DASH, DOGE, USDT TRC20 et pièces ADA.

Si un portefeuille est trouvé, il est immédiatement remplacé dans le presse-papiers par une adresse de portefeuille fournie par l’auteur de la menace.

Une capture d’écran de Cyble montre un portefeuille Bitcoin contrôlé par l’acteur de la menace. Ce portefeuille est lié à 60 transactions, pour un montant total d’environ 450 $ (Figure B).

Figure B

keona figb
Image : Cyble. Détails de la transaction pour un portefeuille Bitcoin contrôlé par un attaquant.

Bien que cette somme d’argent puisse sembler assez faible, les attaquants utilisent souvent différents portefeuilles pour plusieurs types de crypto-monnaies. Ce montant ne doit donc être considéré que comme une partie du gain financier de l’attaquant.

Comment se protéger de cette menace

Une vérification minutieuse doit être effectuée pour chaque paiement effectué en crypto-monnaie. Les utilisateurs doivent confirmer visuellement le portefeuille utilisé comme destination de la transaction en comparant le résultat de leur manipulation copier/coller au portefeuille fourni par le vendeur.

Les clés privées et les graines pour les portefeuilles ne doivent jamais être stockées de manière dangereuse sur n’importe quel appareil. Ceux-ci doivent être stockés cryptés, si possible, sur un périphérique de stockage séparé ou sur un portefeuille matériel physique.

Les produits de sécurité doivent être déployés pour détecter la menace. Ne connaissant pas le vecteur initial de propagation de Keona, nous soupçonnons qu’il pourrait s’agir d’e-mails. Une sécurité basée sur les e-mails doit donc être déployée. Il convient également de sensibiliser les utilisateurs à la fraude par courrier électronique et au phishing.

Enfin, le système d’exploitation et tous les logiciels qui y sont exécutés doivent toujours être mis à jour et corrigés. Dans le cas où le logiciel malveillant est supprimé et exécuté sur le système via l’exploitation d’un exploit commun, un système corrigé est très susceptible d’arrêter la menace.

Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Rate this post
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici