Les chercheurs en sécurité de la société de sécurité slovaque ESET ont découvert une nouvelle famille de malwares qu’ils disent utiliser une variété de techniques pour voler de la crypto-monnaie à des utilisateurs sans méfiance depuis au moins décembre 2018.
Le logiciel malveillant, qui a été nommé KryptoCibule, utilise une variété de technologies légitimes – y compris Tor et le client torrent Transmission – dans le cadre de son programme visant à exploiter la crypto-monnaie, à détourner les transactions en monnaie numérique dans les comptes de ses créateurs et à créer une porte dérobée pour les pirates. pour accéder à distance aux systèmes infectés.
KryptoCibule constitue une menace à trois volets en matière de crypto-monnaie.
Premièrement, il exploite le CPU et le GPU des ordinateurs infectés pour exploiter Monero et Ethereum. Afin d’éviter la détection par l’utilisateur légitime de l’ordinateur, KryptoCibule surveille le niveau de la batterie des appareils infectés et ne fera aucune extraction si la batterie est à moins de 10% de sa capacité.
Cependant, si l’état du niveau de la batterie est compris entre 10% et 30%, l’extraction d’Ethereum via le GPU est suspendue et seule l’extraction de Monero via le processeur a lieu, bien que limitée à un thread.
Cependant, si le niveau de la batterie est de 30% ou plus et qu’il n’y a eu aucune activité de l’utilisateur au cours des trois dernières minutes, «les mineurs de processeur graphique et de processeur fonctionnent sans limites».
De cette façon, KryptoCibule tente d’exploiter subrepticement la crypto-monnaie sur les PC infectés sans que les utilisateurs détectent quoi que ce soit de suspect.
Deuxièmement, le malware KryptoCibule surveille le presse-papiers de l’utilisateur. S’il détecte qu’une adresse de portefeuille de crypto-monnaie légitime a été placée dans le presse-papiers, il la remplace silencieusement par l’une des siennes – ce qui signifie que les utilisateurs peuvent involontairement transférer des fonds directement dans les propres poches numériques des pirates.
Troisièmement, les logiciels malveillants détectent les lecteurs connectés à un ordinateur infecté, à la recherche de fichiers susceptibles de contenir du contenu intéressant, comme des mots de passe et des clés privées.
Et si cela ne suffisait pas, le composant RAT (Remote Access Trojan) de KryptoCibule permet aux attaquants d’exécuter des commandes sur les PC des victimes via une porte dérobée et d’installer du code malveillant supplémentaire.
Selon les recherches d’ESET, KryptoCibule a été distribué via des torrents malveillants se faisant passer pour des versions piratées de jeux populaires et d’autres logiciels sur uloz.to; un site de partage de fichiers populaire en Tchéquie et en Slovaquie.
Pour masquer son comportement, les utilisateurs qui téléchargent les torrents et exécutent le programme d’installation ne se rendent pas compte qu’un code malveillant est exécuté en arrière-plan.
Le lien avec la Tchéquie et la Slovaquie est renforcé en ce qui concerne les méthodes utilisées par les logiciels malveillants pour éviter d’être détectés. Si KryptoCibule détecte qu’il est en cours d’installation sur des PC exécutant Avast, AVG et ESET (tous les produits de sécurité dont le siège social est basé dans les deux pays), il ne déploie délibérément pas son code d’extraction de crypto-monnaie, ce qui l’aide à éviter toute attention.
À ce jour, peut-être en raison de son orientation géographique et de sa volonté de rester dans l’ombre, KryptoCibule ne semble pas avoir infecté un grand nombre d’ordinateurs. ESET pense que les victimes peuvent se compter par centaines plutôt que par milliers. Cependant, il est resté actif dans la nature depuis au moins fin 2018 et a été régulièrement mis à jour avec de nouvelles capacités.
Alors que des menaces telles que KryptoCibule continuent d’être activement développées, il serait imprudent de les sous-estimer.
Note de l’éditeur: les opinions exprimées dans cet article de l’auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.
