Les crypto-stealers se répandent comme une trainée de poudre

Les crypto-stealers ont été détectés en circulation pour la première fois il y a déjà plusieurs années. Cependant, à la suite de l’explosion récente des cryptomonnaies sur les marchés mondiaux, ils font aujourd’hui un retour en force, mettant une fois encore en danger les économies des utilisateurs.

Les crypto-stealers reviennent sur le devant la de la cyber scène malveillante. En enquêtant à ce sujet, les chercheurs de Kaspersky Lab ont découvert un nouveau malware, le cheval de Troie CryptoShuffler. Spécialement conçu pour le vol de cryptomonnaie, ce malware s’attaque aux utilisateurs lorsqu’ils font un copier-coller du numéro du porte-monnaie de destination au cours d’une transaction de paiement.

Cette technique du « détournement de presse-papiers » a déjà été observée précédemment, ciblant des systèmes de paiement en ligne. Toutefois, les experts pensent que les cas portant sur une adresse hôte de cryptomonnaie sont rares à l’heure actuelle.

Selon l’étude, l’un des créateurs de CryptoShuffler opère déjà depuis un an, ciblant un large éventail des cryptomonnaies les plus répandues (Bitcoin, Ethereum, Zcash, Dash, Monero, etc.). Ce criminel a connu son pic d’activité à la fin de l’an passé, suivi d’une accalmie qui s’est prolongée jusqu’en juin 2017. A ce jour, il s’en est déjà pris avec succès à des porte-monnaie virtuels, dérobant 23 bitcoins, soit l’équivalent de près de 100 000 dollars. Les sommes totales volées dans d’autres porte-monnaie vont de quelques dollars à plusieurs milliers.

La victime type des crypto-stealers

Imaginez un instant être l’heureux propriétaire d’une « mine » de bitcoins. Vous continuez d’investir dans sa maintenance, notamment en frais d’électricité, et votre mine produit désormais de l’argent virtuel chaque jour. Ensuite ? Vous aimeriez probablement dépenser vos gains, convertir vos bitcoins en espèces sonnantes et trébuchantes ou bien les transférer dans un autre porte-monnaie virtuel…

Or, une fois vos transactions validées, qu’en est-il si votre argent ne prend pas la bonne direction ? En raison de l’absence de réglementation et de centralisation du marché des cryptomonnaies, vous n’avez dans ce cas aucune chance de récupérer votre argent durement gagné : celui-ci s’est bel et bien envolé. En outre, il est probable que si pareille mésaventure vous arrive, ce soit parce que votre PC a été infecté par un malware spécialement conçu dans ce but. Vous ne seriez alors que la dernière victime en date des « crypto-stealers », une menace croissante selon plusieurs études.

CryptoShuffler : Modus Operandi des crypto-stealers

Pour la plupart des cryptomonnaies, si un utilisateur souhaite transférer des unités à un autre, il doit connaître l’identifiant du porte-monnaie du destinataire, c’est-à-dire un numéro distinct composé de plusieurs chiffres. Le malware CryptoShuffler exploite l’utilisation de ces numéros via plusieurs méthodes.

D’abord, le mécanisme de CryptoShuffler est à la fois d’une grande simplicité et d’une grande efficacité. Une fois qu’il s’exécute, le cheval de Troie [trojan] commence à surveiller le presse-papiers de la machine infectée. Les utilisateurs font appel à cette fonction du logiciel lorsqu’ils effectuent un paiement : ils copient un numéro de porte-monnaie et le collent dans le champ « adresse de destination » du logiciel employé pour la transaction.

Or le trojaneur du malware. Par conséquent, lorsque l’utilisateur colle l’identifiant du porte-monnaie dans l’adresse de destination, ce n’est déjà plus celui du destinataire souhaité au départ, si bien que la victime transfère directement son argent à des criminels. Seuls les utilisateurs les plus attentifs s’aperçoivent de ce tour de passe-passe.

Ensuite, le logiciel espion n’a besoin que de quelques millisecondes pour substituer la destination, en raison de la facilité avec laquelle il est possible d’identifier les adresses de porte-monnaie. La majorité des cryptomonnaies utilisent en effet des adresses commençant de la même façon et comportant un certain nombre de caractères. Des intrus peuvent ainsi créer sans difficulté des codes de remplacement valables.

Enfin, avec ce stratagème, les criminels exploitent le manque d’attention des utilisateurs qui, lorsqu’ils effectuent un paiement, ne vérifient généralement pas leur numéro à plusieurs chiffres. En outre, les adresses de porte-monnaie dans le système de la blockchain sont complexes et très difficiles à mémoriser. Les utilisateurs ne prêtent guère d’attention aux détails de la ligne de transaction, même si elle se trouve juste sous leurs yeux et même si une légère modification pourrait leur coûter très cher.

Crypto-stealers : Comment se protéger ?

La méthode la plus simple et la moins coûteuse consiste à se montrer très attentif pendant les transactions et à vérifier systématiquement que le numéro de porte-monnaie affiché dans le champ « adresse de destination » est bien celui auquel vous souhaitez effectuer un transfert de fonds. Vous devez également avoir conscience de la différence entre une adresse non valide et une adresse incorrecte. Dans le premier cas, l’erreur sera détectée et la transaction n’aura pas lieu. Dans le second, vous ne reverrez jamais votre argent.