Microsoft tire la sonnette d’alarme. L’éditeur américain a découvert un nouveau malware intitulé « Crypto Clipper », lancé à l’assaut des détenteurs de cryptomonnaies. Ce cheval de Troie a été identifié par Microsoft Defender, l’antivirus par défaut des ordinateurs qui tournent sous Windows.
À lire aussi : Faille de Microsoft Defender – l’éditeur confirme un grave dysfonctionnement dans l’antivirus de Windows
De clé USB en clé USB
Comme l’explique Microsoft, le malware se cache sur une clé USB. Sur cette clé, le pirate va dissimuler une série de fichiers malveillants, cachés sous la forme de raccourcis. Lorsqu’un utilisateur ouvre ce qui ressemble à un document classique sur la clé, un script se lance et installe le ver informatique. On ignore comment les pirates parviennent à glisser les fichiers malveillants sur la clé USB de leur victime. Il est possible que l’infection vienne initialement d’un téléchargement sur Internet, et se propage ensuite de clé en clé. Chaque clé USB insérée dans un ordinateur infecté devient en effet automatiquement un nouveau vecteur d’infection. Le malware se reproduit de clé USB en clé USB. C’est pourquoi il est qualifié de ver informatique par les équipes de Microsoft.
Pour berner l’utilisateur, les hackers déguisent les fichiers malveillants en documents Word, en tableurs Excel, ou en PDF. Ils vont jusqu’à réaliser des raccourcis factices pour les véritables fichiers qui se trouvent sur la clé USB. La victime insère la clé USB, voit ses fichiers habituels, double-clique dessus… et exécute sans le savoir le malware. Le document s’ouvre bien pour ne pas éveiller les soupçons, mais en arrière-plan, l’infection est bien en cours.
Une fois déployé sur l’ordinateur, le virus déploie un script, taillé pour échapper aux antivirus. En parallèle, il installe un outil pour communiquer avec le serveur des attaquants, et recevoir les instructions indispensables à la cyberattaque. Pour assurer sa survie, il crée ensuite deux tâches planifiées dans Windows. La première tâche surveille en continu si une nouvelle clé USB est insérée dans l’ordinateur infecté. Dès que le malware en détecte une, le virus s’y copie automatiquement en créant les faux fichiers évoqués plus haut. La seconde tâche planifiée va activer la fonctionnalité de base du malware.
Une surveillance continue de votre presse-papiers
Pour arriver à ses fins, le virus va passer en mode surveillance. Il va en effet surveiller en continu le contenu de votre presse-papiers toutes les 500 millisecondes. Il cherche automatiquement des informations correspondant à des adresses de portefeuilles de cryptomonnaies, comme des wallets Bitcoin, Ethereum, Tron, ou encore Monero.
Tapis dans l’ombre, le malware va attendre que vous réalisiez une transaction en cryptomonnaie. Quand vous copiez l’adresse d’un destinataire pour envoyer des cryptos, le malware remplace instantanément cette adresse par celle contrôlée par l’attaquant en manipulant le presse-papiers. Vous collez ce que vous croyez être l’adresse correcte de votre contact, vous confirmez la transaction… et vos cryptomonnaies partent directement dans le portefeuille du criminel.
En parallèle, le virus cherche tout particulièrement des phrases de récupération. Celles-ci permettent de récupérer des portefeuilles crypto, ce qui permet évidemment à l’attaquant de mettre la main sur les actifs numériques de ses cibles. Avec ce double mode opératoire, le logiciel malveillant représente une sérieuse menace pour tous les investisseurs.
Notez que, dans la foulée, « Crypto Clipper » effectue aussi des captures d’écran régulières du bureau de la victime. Le ver « prend cinq captures d’écran à dix secondes d’intervalle et les envoie discrètement — offrant à l’attaquant une vue complète sur les portefeuilles et les soldes de la victime ». Toutes les données volées transitent sur le réseau Tor, surtout utilisé pour accéder au dark web, avant de finir sur les serveurs des pirates. Une fois le vol terminé, le malware est en mesure de télécharger d’autres virus, de modifier le système, d’espionner l’utilisateur en continu, ou de propager l’infection à d’autres machines sur le même réseau.
À lire aussi : Une double authentification inutile – l’outil de piratage Kali365 fait des ravages sur les comptes Microsoft
Méfiez-vous des clés USB
Pour se protéger, Microsoft recommande de traiter avec méfiance et prudence les clés USB. Il ne faut jamais ouvrir de fichiers depuis une clé USB inconnue. Par ailleurs, prenez l’habitude de vérifier, après chaque copié-collé d’une adresse crypto, que l’adresse dans votre champ de saisie correspond bien à celle que vous avez copiée, caractère par caractère. C’est la meilleure précaution pour éviter de se faire avoir.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Microsoft
