Des cybercriminels qui visent les portefeuilles de cryptomonnaies diffusent un malware capable de se propager automatiquement. Ce programme vole les données du presse-papiers et utilise le réseau Tor pour dissimuler ses communications.
Cette campagne est active depuis février au moins. Elle repose sur des fichiers LNK, aussi appelés raccourcis, placés sur des clés USB. Ces fichiers installent un clipper, un type de malware qui surveille le contenu du presse-papiers. Lorsqu’il détecte une adresse de portefeuille de cryptomonnaie, il la remplace par une adresse contrôlée par l’attaquant.
Le malware recherche aussi les phrases de récupération et les clés privées. Il peut capturer des images de l’écran, qui sont ensuite envoyées via Tor.
Infection et propagation du ver
Selon Microsoft, l’infection commence quand la victime ouvre le fichier LNK. Ce geste active le malware présent sur la clé USB. Des programmes supplémentaires sont ensuite téléchargés depuis une adresse .ONION.
Le malware lance une recherche locale pour trouver des fichiers documents sur le système. Quand il en découvre, il cache les originaux et les remplace par des raccourcis malveillants qui portent le même nom. Le malware s’exécute alors lorsque l’utilisateur essaie d’ouvrir ces documents.
Le ver crée une tâche planifiée qui surveille les nouveaux périphériques de stockage USB connectés. Quand une clé USB est insérée, le malware se copie sur le dispositif et génère de nouveaux fichiers raccourcis malveillants.
Source : Microsoft
Le voleur de données
Le module qui vole les données s’exécute après avoir vérifié que le Gestionnaire des tâches est fermé. Il établit ensuite une communication avec le serveur de commandement et contrôle en utilisant un exécutable Tor nommé ugate.exe.
Le malware examine le presse-papiers toutes les demi-secondes pour détecter les données suivantes :
- Les phrases de récupération BIP39 de 12 mots
- Les phrases de récupération BIP39 de 24 mots
- Les clés privées Ethereum
- Les clés Bitcoin WIF
- Les adresses de portefeuille Bitcoin (legacy, P2SH, Bech32 et Taproot)
- Les adresses de portefeuille Tron
- Les adresses de portefeuille Monero
Les adresses ciblées sont choisies selon leurs premiers chiffres ou caractères. Elles doivent ressembler partiellement aux adresses des portefeuilles des attaquants, afin que l’usager ait moins de chances de découvrir la fraude lors d’un examen rapide.
Source : Microsoft
En plus de surveiller le presse-papiers, le malware capture cinq images de l’écran de la victime toutes les dix secondes. Il les transmet ensuite au serveur de commandement et contrôle avec l’outil curl.
Microsoft indique que le malware peut aussi exécuter des codes à distance. Cette fonction est activée par une instruction EVAL envoyée par le serveur de commandement et contrôle. Concrètement, le malware télécharge un contenu JavaScript dans un fichier nommé ‘cfile’, puis l’exécute sur la machine infectée.
Les chercheurs affirment que les meilleurs indicateurs d’une infection sont comportementaux, et non basés sur des signatures. Ils recommandent de surveiller l’activité des processus wscript.exe et cscript.exe, les lancements inhabituels de curl, de PowerShell et de cmd.exe, ainsi que les processus enfants anormaux.
Les connexions à ‘localhost:9050’ et toute activité liée à un proxy Tor sont également des signaux d’alerte pour cette campagne.