Posté le septembre 4, 2020 à 15:39

BITTORRENT ET TOR SONT UTILISÉS POUR VOLER DES CRYPTOMONNAIES

Le marché des cryptomonnaies est à nouveau victime d’un nouveau scandale, les hackers ayant trouvé un nouveau moyen de voler des bitcoins et de l’ethereum. Des individus malveillants spécialisés dans la compromission des portefeuilles de bitcoins ont peut-être enfin trouvé une solution révolutionnaire pour voler des cryptomonnaies. Pour ce faire, ils ont réussi à créer un nouveau cheval de Troie, qui est connu sous le nom de Krypto Cibule.

Le Krypto Cibule utilise des ordinateurs qui sont infestés. La puissance de ces ordinateurs est alors utilisée pour extraire des cryptomonnaies. Ils peuvent également être utilisés pour voler des fichiers de portefeuille contenant des cryptomonnaies et rediriger les fonds numériques entrants vers une autre adresse. Cette adresse est généralement celle du hacker.

Selon un rapport fiable d’ESET, un établissement de cybersécurité, le logiciel malveillant utilise deux outils numériques pour mener à bien son activité illégale. Le logiciel malveillant est alimenté par le protocole BitTorrent et le réseau Tor. Ces outils l’aident à réaliser ses attaques contre les détenteurs de cryptomonnaies sans méfiance.

Qu’est-ce que Krypto Cibule ?

Selon une déclaration officielle des chercheurs qui sont au courant de la découverte, il existe une méthode non conventionnelle que les hackers utilisent pour voler des cryptomonnaies. La Krypto Cibule se propage par le biais de torrents nuisibles utilisés pour les fichiers ZIP.

Ces fichiers ZIP contiennent également des fichiers qui se font passer pour des outils d’installation de jeux ou de logiciels piratés ou craqués. Tout en détaillant leur rapport, les chercheurs ont rapidement fait valoir qu’il s’agit d’une menace qui se répand rapidement sur le marché des cryptomonnaies.

Selon les rapports officiels, les logiciels malveillants sont surtout répandus dans les pays d’Europe centrale comme la République tchèque et la Slovaquie. Dans ces deux pays, le logiciel malveillant a réussi à exécuter des centaines d’attaques avec succès.

Le logiciel malveillant enfin découvert

Selon les découvertes des chercheurs, les victimes de l’ancien pays tchécoslovaque avaient téléchargé le logiciel malveillant en ligne. Le logiciel malveillant était contenu dans des fichiers qui sont présents sur un site web de torrents. Ce site web est connu pour être un site de torrents célèbre pour les deux pays. Le site web est connu sous le nom d’uloz.to.

Les recherches menées avec la société ESET ont permis de remonter jusqu’en 2018. Ses opérations minières ont été codées en XMRig. XMRig est un programme à code ouvert utilisé pour exploiter les mines monero à l’aide d’un processeur et de kawpowminer.

Kawpowminer est un programme à code ouvert différent utilisé pour miner de l’Ethereum (ETH) grâce à l’utilisation du GPU. Les deux programmes ont ensuite été installés de manière à être reliés à un serveur minier contrôlé par un hacker. Cette connexion est faite par le biais du proxy Tor.

Comme les hackers exécutent ces opérations de manière strictement discrète, les chercheurs ont déclaré que le cheval de Troie n’a pas reçu beaucoup d’attention de la part des autorités.

Pour éviter que le propriétaire de l’ordinateur ne devienne suspect, le logiciel malveillant rappelle GPU si la batterie descend en dessous de 30%. Il arrête alors son fonctionnement dès que la batterie passe en dessous de 10%.

Ce processus de détournement de presse-papiers utilise un fichier de dissimulation appelé SystemArchitectureTranslation.exe. Il fonctionne en surveillant les modifications du presse-papiers afin qu’elles puissent remplacer les adresses du portefeuille par des adresses contrôlées par l’opérateur du logiciel malveillant.

De cette façon, les fonds sont facilement détournés. Les chercheurs ont en outre constaté qu’au moment de la rédaction de ce rapport, les portefeuilles utilisés par les opérateurs de logiciels malveillants avaient permis d’obtenir de force plus de 1 800 dollars en Ethereum et Bitcoin (BTC).

L’exfiltration se fait en parcourant le système de fichiers de tous les lecteurs disponibles pour trouver les noms de fichiers qui contiennent des termes spécifiques. Les chercheurs de l’ESET ont relié ce cheval de Troie à des mots qui se réfèrent principalement à des cryptomonnaies, des mineurs ou des portefeuilles et à des termes plus généraux tels que « crypto », « password » et « seed ». Sont également visés les fichiers qui fournissent des informations telles que des clés privées.

Conclusion

D’après la découverte de l’équipe de recherche, c’est l’utilisation d’outils à code ouvert et d’une série de mécanismes antidétection qui ont peut-être permis d’empêcher la détection des logiciels malveillants jusqu’à présent.

En outre, le rapport officiel indique que Krypto Cibule est toujours en cours de développement. Cela signifie que des fonctionnalités supplémentaires ont encore été incluses dans le cheval de Troie. Le cheval de Troie n’a que deux ans et ses capacités sont formidables. Les rapports officiels indiquent qu’il est en cours de développement par les développeurs pour effectuer des attaques plus secrètes et plus nuisibles.

Sur la base d’un rapport de source fiable sur les cryptomonnaies, les hackers ont déjà réussi à piller des bitcoins en employant des relais malveillants à grande échelle sur le réseau Tor. L’un des outils utilisés pour réaliser cet acte malveillant est Tor, qui est un système de réseau orienté vers la confidentialité qui est commun parmi les investisseurs de bitcoin à travers le monde.