Des installateurs trojanisés pour le navigateur d’anonymat TOR sont utilisés pour cibler les utilisateurs en Russie et en Europe de l’Est avec des logiciels malveillants clipper conçus pour siphonner les crypto-monnaies depuis septembre 2022.
« Injecteurs presse-papiers […] peuvent rester silencieux pendant des années, ne montrer aucune activité réseau ou tout autre signe de présence jusqu’au jour désastreux où ils remplacent une adresse de portefeuille crypto », Vitaly Kamluk, directeur de l’équipe mondiale de recherche et d’analyse (GReAT) pour APAC chez Kaspersky, a dit.
Un autre aspect notable du logiciel malveillant clipper est que ses fonctions néfastes ne sont pas déclenchées à moins que les données du presse-papiers ne répondent à un critère spécifique, ce qui le rend plus évasif.
On ne sait pas immédiatement comment les programmes d’installation sont distribués, mais des preuves indiquent l’utilisation de téléchargements torrent ou d’une source tierce inconnue depuis que le site Web du projet Tor a été soumis pour blocus dans Russie au cours des dernières années.
Quelle que soit la méthode utilisée, le programme d’installation lance l’exécutable légitime, tout en lançant simultanément la charge utile du clipper conçue pour surveiller le contenu du presse-papiers.
« Si le presse-papiers contient du texte, il analyse le contenu avec un ensemble d’expressions régulières intégrées », a noté Kamluk. « S’il trouve une correspondance, il est remplacé par une adresse choisie au hasard dans une liste codée en dur. »
Chaque échantillon contient des milliers d’adresses de remplacement possibles sélectionnées au hasard. Il offre également la possibilité de désactiver le logiciel malveillant au moyen d’une combinaison spéciale de raccourcis clavier (Ctrl+Alt+F10), une option probablement ajoutée pendant la phase de test.
La société russe de cybersécurité a déclaré avoir enregistré environ 16 000 détections, dont la majorité sont enregistrées en Russie et en Ukraine, suivies des États-Unis, de l’Allemagne, de l’Ouzbékistan, de la Biélorussie, de la Chine, des Pays-Bas, du Royaume-Uni et de la France. Au total, la menace a été repérée dans 52 pays à travers le monde.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
On estime que le stratagème a rapporté aux opérateurs près de 400 000 dollars de profits illicites grâce au vol de Bitcoin, Litecoin, Ether et Dogecoin. Le montant des actifs Monero pillés n’est pas connu en raison de la fonctionnalités de confidentialité intégré au service.
On soupçonne que la campagne pourrait avoir une portée plus large en raison de la possibilité que les acteurs de la menace exploitent d’autres installateurs de logiciels et des méthodes de livraison inédites pour cibler les utilisateurs imprudents.
Pour se protéger contre de telles menaces, il est toujours recommandé de télécharger des logiciels uniquement à partir de sources fiables et fiables.