Microsoft met en garde contre une menace émergente ciblant les portefeuilles de crypto-monnaie connectés à Internet, signalant un départ dans l’utilisation des pièces numériques dans les cyberattaques.
Le géant de la technologie a surnommé la nouvelle menace « cryware », les attaques entraînant le vol irréversible de monnaies virtuelles au moyen de transferts frauduleux vers un portefeuille contrôlé par l’adversaire.
« Les cryowares sont des voleurs d’informations qui collectent et exfiltrent des données directement à partir de portefeuilles de crypto-monnaie non dépositaires, également connus sous le nom de portefeuilles chauds« , Berman Enconado et Laurie Kirk de l’équipe de recherche Microsoft 365 Defender mentionné dans un nouveau rapport.
« Parce que les portefeuilles chauds, contrairement aux portefeuilles de garde, sont stockés localement sur un appareil et offrent un accès plus facile aux clés cryptographiques nécessaires pour effectuer des transactions, de plus en plus de menaces les ciblent. »
Les attaques de ce genre ne sont pas théoriques. Plus tôt cette année, Kaspersky a dévoilé une campagne à motivation financière organisée par le groupe Lazarus basé en Corée du Nord, qui impliquait de cibler des sociétés de cryptographie avec des logiciels malveillants conçus pour drainer des fonds des portefeuilles chauds.
Cryware englobe les menaces suivantes –
- Cryptojackers qui consomment subrepticement les ressources de l’appareil d’une cible pour extraire la crypto-monnaie
- Logiciels de rançon campagnes qui utilisent la crypto-monnaie comme paiement de rançon pour éviter la détection
- Voleurs d’informations (par exemple, Mars Stealer, RedLine Stealer, Arkeiet Raccoon) qui sont de plus en plus mis à niveau pour siphonner les données du portefeuille actif aux côtés d’autres informations précieuses stockées dans le système, et
- ClipBankers (alias clippers) qui volent la crypto-monnaie lors des transactions en surveillant le presse-papiers et en remplaçant l’adresse du portefeuille d’origine par l’adresse de l’attaquant
Ces attaques de vol d’informations visent à extraire des données de portefeuille chaud telles que des clés privées, des phrases de départ et des adresses de portefeuille, permettant ainsi à l’auteur de la menace d’initier des transactions malveillantes et de transférer des fonds vers un autre portefeuille.
Alternativement, on a également observé que les cybercriminels utilisaient des techniques telles que le vidage de mémoire pour afficher les clés privées en clair, l’enregistrement de frappe pour capturer les frappes saisies par une victime ou la conception de sites Web de portefeuille similaires pour inciter les utilisateurs à entrer leurs clés privées.
Pour atténuer ces menaces, Microsoft recommande aux utilisateurs et aux organisations de verrouiller les portefeuilles actifs lorsqu’ils ne négocient pas, de déconnecter les sites connectés à un portefeuille, d’éviter de stocker les clés privées en clair et de vérifier la valeur de l’adresse du portefeuille lors du copier-coller des informations.
« Cryware signifie un changement dans l’utilisation des crypto-monnaies dans les attaques : non plus comme un moyen pour parvenir à une fin, mais comme la fin elle-même », ont déclaré les chercheurs.