D’une part, les participants au marché cryptographique peuvent effectuer des transactions sans entrave, indépendamment des frontières nationales. D’autre part, la nature non réglementée du marché des cryptomonnaies facilite les attaques de pirates informatiques. Les attaques contre les cryptomonnaies sont attrayantes car même si les auteurs sont découverts, se pose la question de la juridiction légale, qui n’est pas définie.
Les attaques de piratage ne se font pas « manuellement », sauf dans des cas particuliers. Pourtant, différents scripts sont créés pour les attaques, qu’elles soient lancées par des commandes directes ou des logiciels malveillants. Récemment, deux nouvelles menaces de logiciels malveillants ont fait surface et recherchent sur Internet des investisseurs imprudents pour leur voler leurs fonds.
Les nouvelles activités malveillantes ont été détectées par le logiciel anti-malware Malwarebytes, et il s’agit de deux nouveaux codes malveillants. Le premier est un virus ransomware appelé MortalKombat, et le second est une variante GO du malware Laplace Clipper. Leurs activités sur le marché des crypto-monnaies ont été observées, et la plupart des victimes sont situées aux États-Unis, tandis qu’un plus petit pourcentage de victimes se trouve en Grande-Bretagne, en Turquie et aux Philippines.
Les attaquants ont observé une activité d’analyse sur Internet à la recherche de cibles potentielles ayant le port 3389 du protocole Remote Desktop (RDP) ouvert. Il s’agit d’un protocole privé qui fournit une interface graphique permettant à un utilisateur de se connecter à un autre ordinateur via une connexion réseau.
Les recherches ont montré que la campagne commence par un courriel de hameçonnage dont l’activation déclenche une chaîne d’attaque en plusieurs étapes dans laquelle l’attaquant diffuse un logiciel malveillant ou un ransomware, puis supprime les preuves des fichiers malveillants, couvrant ainsi ses traces dès que l’attaque devient difficile à analyser.
Chaîne d’attaques
L’e-mail est accompagné d’un fichier compressé (ZIP) malveillant qui contient un script de chargement par lots qui télécharge un autre fichier ZIP malveillant lorsque la victime l’ouvre. Le logiciel malveillant remplit également le disque dur de la victime avec son contenu, ce qui le rend difficile à exploiter, soit la variante GO du logiciel malveillant Laplace Clipper, soit le ransomware MortalKombat.
Le script téléchargeur exécute le code malveillant qui accède au portefeuille de crypto-monnaie de la victime, puis supprime les fichiers malveillants téléchargés et jetés pour nettoyer les traces de l’infection.
Un vecteur d’attaque courant pour les pirates était un courriel de phishing usurpant l’identité de CoinPayments, c’est-à-dire une passerelle de paiement en crypto-monnaie mondiale légitime. Pour que les messages électroniques paraissent aussi crédibles que possible, les attaquants ont un faux expéditeur, « [email protected] », tandis que le titre du message est « CoinPayments.net Payment Time Out ».
Le fichier ZIP joint a un nom qui ressemble à l’identifiant de transaction mentionné dans le courrier, incitant la victime à dézipper la pièce jointe malveillante pour en voir le contenu et ainsi lancer le fichier Batch attaquant.
Les attaques de ransomware et de cybersécurité ne cessent de croître. Cependant, les victimes sont de plus en plus réticentes à payer les attaquants pour ce qu’ils demandent, selon un rapport récent de Chainalysis qui a constaté que les revenus des attaquants provenant des ransomwares ont chuté de 40% l’année dernière.
L’hypothèse est que les pirates changeront de tactiques et de moyens d’attaque, et nous découvrirons sous peu à quoi ressembleront les futures attaques.
