La société de sécurité Kaspersky a mis en garde contre un nouveau logiciel malveillant ciblant les utilisateurs de cryptomonnaies via le site d'hébergement de logiciels SourceForge. Dans une publication récente, l'entreprise a indiqué que le logiciel hébergé sur le site, Office Package, contient un logiciel malveillant d'empoisonnement d'adresses IP destiné aux utilisateurs de cryptomonnaies.
D'après le rapport, le logiciel Office est un projet légitime contenant des compléments Microsoft Office. Cependant, une analyse plus approfondie révèle d'autres informations concernant ce logiciel : il contient des liens de téléchargement qui mènent vers une URL différente.
Il était écrit :
« Le projet faisant l'objet de l'enquête s'est vu attribuer le domaine officepackage.sourceforge[.]io, mais la page affichée lorsque vous accédez à ce domaine ne ressemble en rien à officepackage sur sourceforge.net. »
Il est intéressant de noter que le processus de téléchargement du logiciel malveillant est assez complexe : les utilisateurs doivent passer par trois URL avant de pouvoir télécharger le fichier. Cette complexité semble faire partie d'une stratégie visant à tromper les utilisateurs et à leur faire croire qu'ils téléchargent une application légitime.
Les experts en sécurité de Kaspersky ont constaté que le fichier d'installation final est installer.msi, un fichier de 700 mégaoctets dont la taille a été artificiellement gonflée par des personnes malveillantes pour le faire passer pour un programme d'installation authentique. Après suppression des données inutiles, sa taille réelle est de sept mégaoctets.
En exécutant le programme d'installation, les utilisateurs installent à leur insu deux applications malveillantes sur leurs appareils : un mineur de cryptomonnaie et ClipBanker. Ce dernier permet l'empoisonnement d'adresses en remplaçant les adresses cryptographiques copiées dans le presse-papiers par celles de l'attaquant, ce qui conduit les utilisateurs à envoyer des fonds à de mauvaises adresses.
Les experts en sécurité ont écrit :
« Les principales actions malveillantes de cette campagne consistent à exécuter deux scripts AutoIt. Icon.dll redémarre l'interpréteur AutoIt et y injecte un mineur, tandis que Kape.dll fait de même, mais injecte ClipBanker. »
Par ailleurs, ils ont également constaté que l'attaque visait principalement des cibles russes. Parmi les indices, on note l'interface russe du site officepackage.sourceforge[.]io et le fait que 90 % des 4 604 utilisateurs exposés au logiciel malveillant entre janvier et fin mars étaient russes.
Lutte contre les arnaques à l'empoisonnement en hausse
Le rapport de Kaspersky coïncide avec la récente augmentation des attaques par empoisonnement d'adresses ciblant les utilisateurs de cryptomonnaies, signalée par plusieurs entreprises spécialisées dans la sécurité blockchain. Selon les données de Scam Sniffer, le troisièmedent de phishing le plus important en mars était dû à un empoisonnement d'adresse.
Cyvers a également signalé que les escroqueries par empoisonnement d'adresse ont causé une perte de plus de 1,2 million de dollars au cours des trois premières semaines de mars, s'ajoutant aux 1,8 million de dollars de février. L'entreprise a déclaré que son système de détection des menaces par IA avaitdentune augmentation des attaques par empoisonnement d'adresse.
Alors que la plupart des attaques par empoisonnement d'adresse résultent de l'envoi manuel par les attaquants de petites transactions aux victimes avec des adresses similaires à celles qu'elles utilisent fréquemment, l'utilisation de logiciels malveillants sophistiqués permettant aux attaquants de modifier les adresses à partir du presse-papiers montre à quel point les acteurs malveillants continuent d'évoluer.
Les experts en sécurité estiment que la meilleure solution à ce problème est d'éviter de télécharger des logiciels provenant de sources non fiables. Ils soulignent que les personnes mal intentionnées exploitent généralement les sites web de logiciels non officiels pour diffuser des applications malveillantes, et que les utilisateurs de ces sites doivent être conscients de ce risque.
Ils ont toutefois souligné que ce logiciel malveillant représente un problème encore plus grave, car il offre aux attaquants une méthode ingénieuse pour accéder aux systèmes infectés. Il est donc possible que ses créateurs décident de l'utiliser à d'autres fins que le ciblage des utilisateurs de cryptomonnaies et commencent à le vendre à des acteurs malveillants plus dangereux.
