Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Plutôt que de cibler la cryptomonnaie elle-même, les cybercriminels gagnent bien plus à s’attaquer aux portefeuilles

novembre 2018 par Ivan Rogissart, Directeur avant-vente Europe du Sud chez Zscaler

Depuis 2008, la cryptomonnaie passionne autant qu’elle inquiète les marchés. Petit cours de rattrapage : Créée par Satoshi Nakamoto, la cryptomonnaie fonctionne sur un réseau informatique décentralisé ou peer-to-peer. Elle repose sur un système cryptographique exploitant une technologie de registre distribué nommée blockchain. Grâce à celle-ci, la devise est sécurisée et offre une transparence accrue, chaque transaction étant consignée dans des journaux décentralisés.

La cryptomonnaie a vraiment été rendue célèbre avec le succès du Bitcoin. Celui-ci a entrainé l’apparition de nombreuses autres cryptomonnaies puisque nous en dénombrons aujourd’hui plus de 4 000. Malheureusement, celles-ci ne suscitent pas seulement l’intérêt des utilisateurs « légitimes ». Le format décentralisé des cryptomonnaies les rend très difficiles à réglementer ou à interdire, ce qui explique pourquoi elles deviennent les devises privilégiées des cybercriminels, à l’image du Monero.

Sous l’influence de leur popularité croissante et des avantages qu’elles présentent pour financer des activités répréhensibles, les cybercriminels ont fait évoluer leurs stratégies pour obtenir des cryptomonnaies. Des variantes de malware bien connus ont été modernisées pour les cibler, ainsi que les portefeuilles numériques utilisés pour leur stockage.

S’il existe de nombreux types de malware, ceux-ci peuvent globalement être classés en trois catégories : les « cryptominers » (cryptomineurs), les « wallet stealers » (voleurs de portefeuille) et les « clipboard hijackers » (pirates de presse-papier).

1. Les cryptominers

Ces malwares dérobent des ressources du processeur de l’ordinateur de leur victime, puis les utilisent pour miner et générer des cryptomonnaie à l’insu de l’utilisateur. L’attaque peut endommager le matériel – si celui-ci est exécuté à pleine capacité pendant une longue période – et entraîner des frais d’électricité et de ressources Cloud d’un montant considérable lorsque le matériel est démarré et exécuté à l’insu de la victime.

Les cybercriminels ont rapidement compris que faire du minage, en disposant de la puissance de botnets était l’idéal. Si un seul système capable de calculer environ 100 hachages par seconde s’avère inutile dans l’optique du minage, un botnet de 100 000 hôtes similaires peut quant à lui produire 10 millions de hachages par seconde. Un minage de cette ampleur peut par exemple déboucher sur environ 69 Moneros (XMR) par jour, soit plus de 6 200 euros avec un taux d’environ 90 euros.

2. Les wallet stealers

Les portefeuilles numériques stockent les informations d’identification requises pour accéder aux cryptomonnaies stockées dans la blockchain ou les utiliser. Ils constituent donc une cible de choix pour les cybercriminels, le vol de cryptomonnaies déjà détenues par un utilisateur étant bien plus efficace que le minage.

De nombreux wallet stealers existent, des versions rudimentaires dont la seule fonction est de dérober des fichiers wallet.dat aux variantes plus complexes, compatibles avec les botnets. Certaines variantes génériques et populaires de malware voleurs d’informations, comme Pony et Azorult, sont aussi capables de dérober des portefeuilles et mots de passe de cryptomonnaies.

3. Les clipboard hijackers

Le « piratage de presse-papier » consiste à remplacer les crypto-adresses par des adresses similaires qui sont en réalité reliées aux comptes de cybercriminels. Générées de manière cryptographique, les adresses sont difficiles à mémoriser, ce qui explique pourquoi de nombreux détenteurs de cryptomonnaie se contentent de copier et coller l’adresse de leur portefeuille pour se simplifier la tâche. Conséquence : si une adresse est modifiée de manière dynamique par un malware, généralement la victime ne s’en aperçoit pas et effectue une transaction qui profite au compte de l’attaquant. Des malwares autonomes de type clipboard hijacker font régulièrement les gros titres, comme ComboJack et CryptoShuffler, et des variantes multi-usages sont aussi capables de pirater les presse-papiers, comme Evrial et NjRAT Lime.

Phorpiex

Si certains types de cryptomalware sont totalement inédits, la majorité d’entre eux sont des variantes de malware connus ayant été améliorés pour cibler les cryptomonnaies.

Ainsi, Phorpiex, également appelé Trik (SDBot fork), est un botnet vieux d’une dizaine d’années, connu pour ses capacités de ver et de spam, qui se répandait à l’époque via Skype, les courriers indésirables et les lecteurs amovibles. Celui-ci connaît depuis peu un regain de popularité avec les cryptodevises. Il télécharge ainsi différents cryptominers, ainsi que d’autres malwares, sur les systèmes infectés.

Par ailleurs, une nouvelle version (Phorpiex v6.0) a récemment été découverte. Elle ne contient aucune fonctionnalité de spamming, mais des codes de piratage de presse-papier pour cibler différentes cryptomonnaies. Elle en surveille 14 et si le format d’adresse de l’une d’entre elles est détecté, elle la remplace par une adresse correspondante tirée d’une liste codée en dur. Comment les entreprises peuvent-elles se défendre ? En définitive, si les cryptomalwares deviennent plus sophistiqués, certaines mesures élémentaires d’hygiène informatique peuvent aider les entreprises à se défendre.

L’installation systématique des derniers correctifs et mises à jour sur l’ensemble des réseaux, limite les possibilités d’exploitation d’anciennes vulnérabilités par les malwares. Des antivirus et pare-feux doivent aussi être déployés pour l’ensemble des équipements.

Enfin, le personnel doit être sensibilisé au signal d’alarme que représentent les e-mails de phishing, afin de limiter la probabilité d’être dupé et de cliquer sur des liens factices et malveillants.

Pour chaque cryptomalware qui parvient tout de même à s’introduire, les entreprises doivent être capables d’identifier rapidement les pics de trafic ou les activités anormales pouvant être générées par celui-ci. En général, étant donné qu’ils ne chiffrent pas les données comme les ransomwares, dans la plupart des cas, les cryptomalwares peuvent être facilement supprimés du système une fois détectés.




Voir les articles précédents

    

Voir les articles suivants