Selon un nouveau rapport de Kaspersky, les acteurs de la menace utilisent des installateurs trojanisés du navigateur d'anonymat TOR pour cibler les utilisateurs en Russie et en Europe de l'Est avec des logiciels malveillants clipper depuis septembre de l'année dernière. Ce malware est conçu spécifiquement pour siphonner les crypto-monnaies, et a la capacité de rester non détecté pendant des années. L'attaque en question est un détournement de presse-papiers, et ce type de malware est généralement appelé “logiciel malveillant de clipper“.
Logiciel malveillant Clipper, également connu sous le nom d'injecteur de presse-papiers, menace depuis plusieurs années. Ce logiciel malveillant est capable de corrompre les données stockées dans le presse-papiers, permettant de le modifier ou même de l'envoyer au serveur exploité par l'attaquant. L'attaque de Kaspersky signalé s'appuie sur le fait que les logiciels malveillants remplacent une partie du contenu du presse-papiers une fois qu'il y détecte une adresse de portefeuille.
Les attaques de logiciels malveillants Clipper se multiplient
Récemment, Les technologies de Kaspersky ont identifié un développement de malware impliquant le navigateur Tor, un outil souvent utilisé pour naviguer sur le web profond, être téléchargé à partir d'une source tierce sous la forme d'une archive RAR protégée par mot de passe. Le mot de passe est probablement destiné à empêcher les solutions de sécurité de détecter le fichier, et une fois déposé dans le système de l'utilisateur, il s'enregistre dans le démarrage automatique et se masque avec l'icône d'une application populaire telle que uTorrent.
Ce malware a été utilisé pour cibler des crypto-monnaies comme Bitcoin, Ethereum, Litecoin, Dogecoin, et Monero, entraînant plus de 15,000 attaques sur au moins 52 pays. La Russie a été la plus durement touchée en raison du blocage du navigateur Tor dans le pays, tandis que les États-Unis, Allemagne, Ouzbékistan, Belarus, Chine, les Pays-Bas, le Royaume-Uni, et la France en tête 10 pays touchés. Les estimations actuelles évaluent la perte totale d'utilisateurs à au moins 400 000 USD, bien qu'il soit probablement beaucoup plus élevé en raison d'attaques n'impliquant pas le navigateur Tor..
En savoir plus sur le logiciel malveillant Clipper récemment détecté
Ce programme d'installation contient un passif, logiciel malveillant d'injection de presse-papiers sans communication protégé à l'aide d'Enigma Packer v4.0. Les auteurs de ce malware ont peut-être utilisé une version crackée du packer, car il manque des informations de licence.
La charge utile de ce malware est assez simple: il s'intègre dans la visionneuse du presse-papiers de Windows et reçoit des notifications lorsque les données du presse-papiers sont modifiées. Si le presse-papiers contient du texte, il analyse le contenu à l'aide d'un ensemble d'expressions régulières intégrées. Faut-il trouver une correspondance, elle est remplacée par une adresse choisie au hasard dans une liste codée en dur.
“Parmi les grossièrement 16,000 détections, la majorité ont été enregistrés en Russie et en Europe de l'Est. Cependant, la menace s'est propagée à au moins 52 pays du monde,” Les chercheurs de Kaspersky ont déclaré.