Alors que la valeur des cryptomonnaies connaît un pic significatif ces derniers mois et commence même à peser lourd sur l’économie mondiale, ce sont les pirates informatiques qui se frottent les mains. Selon une étude publiée récemment par Kaspersky Lab, de nombreux crybercriminels semblent avoir trouvé le bon filon, en utilisant des techniques d’infection avancées afin de s’emparer de ces précieuses cryptomonnaies. Kaspersky Lab estime que l’attaque la plus importante aurait déjà fait main basse sur au moins 7 millions de dollars, en à peine 6 mois en 2017, en exploitant les machines de ses victimes. Et les tactiques d’attaque de se multiplier ! Focus sur l’émergence de ces nouveaux malwares.
Le minage, un stratagème quasi indétectable
Pour dérober ces cryptomonnaies, l’attaque la plus répandue aujourd’hui consiste à installer un logiciel de minage sur des PC d’entreprise. Les “mineurs” n’ont pas pour objectif de détruire ou de menacer les données des utilisateurs, mais d’exploiter la puissance du PC afin de soutirer des cryptosommes, et ce tout en passant inaperçu. Parmi les différents procédés qui permettent de miner un ordinateur, Kaspersky Lab a identifié une méthode déployée par un groupe de cybercriminels comptant sur des techniques de menaces persistantes avancées (APT).
Une attaque persistante
C’est la première fois que cette technique dite de “process hollowing” est employée non pas pour des attaques ciblées de menaces APT mais bel et bien pour une opération de minage. Cette méthode consiste à inciter l’utilisateur à télécharger et installer un logiciel publicitaire dans lequel est tapi le programme d’installation du mineur. Ce programme introduit alors un utilitaire Windows authentique. Objectif : télécharger le mineur depuis un serveur distant. Ensuite, un processus système légitime se déclenche et son code normal est remplacé par du code malveillant. Ce qui signifie que le mineur opère dans l’ombre, sans que l’utilisateur ni les solutions de sécurité ne puissent détecter son attaque. Pis encore, cette attaque est extrêmement difficile à endiguer. En effet, le processus ne pouvant être interrompu, chaque fois que l’utilisateur tente de supprimer le malware, l’ordinateur redémarre automatiquement, un vrai casse-tête ! Ce qui permet, en outre, au cyberpirate de s’installer confortablement dans le système et de prendre son temps afin de déployer son attaque.
Le minage en pleine expansion
Selon le rapport de Kaspersky Lab, les mineurs malveillants deviennent l’une des menaces les plus importantes sur la Toile. D’ailleurs, ils auraient déjà attaqué plus de 2,7 millions d’utilisateurs en 2017, un chiffre nettement en hausse par rapport à 2016 (1,87 millions). « Nous constatons que le ransomware s’estompe, cédant la place aux logiciels de minage. Cette tendance est confirmée par nos statistiques qui font apparaître une progression constante des mineurs tout au long de l’année ainsi que par le fait que les groupes cybercriminels développent activement leurs méthodes et ont déjà commencé à employer des techniques plus avancées pour propager ce type de logiciels. Nous avons déjà observé une évolution similaire, les auteurs de ransomware ayant fait appel aux mêmes stratagèmes lorsqu’ils étaient en phase d’expansion », explique Anton Ivanov, analyste principal en malware chez Kaspersky Lab.
La montée des attaques via les adresses du presse-papier
Un autre malware visant les cryptomonnaies semble faire de nouveaux ravages. Repéré par l’unité de recherches de Palo Alto Networks, l’Unit42, un logiciel malveillant baptisé “ComboJack” sévit en ciblant les cryptomonnaies ainsi que les portefeuilles en ligne. Ce dernier remplace les adresses du presse-papier par une adresse contrôlée par l’attaquant qui envoie des fonds dans son propre portefeuille. Pour que cela fonctionne, le pirate fait le pari que la plupart des victimes ne vérifient pas systématiquement le portefeuille de destination avant de finaliser une transaction.
Et cette technique n’en est pas à ses premiers pas : l’année dernière, le malware CryptoShuffler avait déjà misé dessus pour cibler le Bitcoin. Avec ComboJack, l’attaque a pris une plus grande envergure puisque ce malware cible une gamme plus large de cryptomonnaies, comprenant non seulement le Bitcoin mais aussi le Litecoin, le Monero, ou encore l’Ether. Ce logiciel malveillant cible également les systèmes de paiement numérique populaires, tels que WebMoney (USD, EUR, et RUB) et Yandex-argent.
Ségolène Kahn
Commentez