Posté le octobre 16, 2021 à 9:18
DES HACKERS EXPLOITENT UN LOGICIEL MALVEILLANT POUR VOLER DES MILLIONS DE CRYPTO-MONNAIES
Un rapport récent a révélé l’existence du logiciel malveillant MyKings que les hackers ont utilisé pour gagner plus de 24,7 millions de dollars. Le logiciel malveillant, qui est toujours opérationnel, utilise des appareils compromis pour miner des crypto-monnaies.
Les hackers ont obtenu un accès non autorisé à des ordinateurs pour accéder à leur puissance de calcul et miner des crypto-monnaies. Bien que différents types de logiciels malveillants soient utilisés à cette fin, MyKings reste le plus grand botnet utilisé pour miner des crypto-monnaies grâce à des ordinateurs de bureau et des unités centrales de serveurs compromis.
Ce logiciel malveillant constitue une activité lucrative, car les hackers qui l’utilisent ont engrangé des millions de crypto-monnaies. À ce titre, sa popularité a augmenté. Le logiciel malveillant s’est retrouvé sous les feux de la rampe en 2017 après avoir infecté plus d’un demi-million d’ordinateurs Windows et utilisé ces appareils pour miner environ 2,3 millions de dollars de Monero en un mois. MyKings est également connu sous le nom de Hexmen ou Smominru.
Un logiciel malveillant utilisé pour extraire des crypto-monnaies d’une valeur de 24,7 millions de dollars
Un rapport récent d’Avast security indique que les hackers derrière le logiciel malveillant ont extrait pour plus de 24,7 millions de dollars de différentes crypto-monnaies en utilisant MyKings. Les actifs minés ont été convertis en Bitcoin, Ethereum et Dogecoin.
Le rapport indique que les hackers ont réalisé la plus grande partie de ce montant en utilisant le « module de vol de presse-papiers ». Ce module détecte lorsqu’une personne a copié une adresse de portefeuille de crypto-monnaies dans le presse-papiers de son appareil. Le module voleur échange ensuite l’adresse de crypto-monnaie copiée avec une adresse contrôlée par les hackers. La plupart des gens copient les adresses de leurs portefeuilles lorsqu’ils effectuent ou reçoivent des paiements.
L’équipe d’Avast a déclaré avoir bloqué le logiciel malveillant MyKings sur 144 000 appareils depuis le début de l’année 2020. Le module voleur de presse-papiers est utilisé depuis environ quatre ans, ce qui augmente le nombre de personnes susceptibles d’avoir été piratées à l’aide de ce logiciel malveillant.
D’autres sociétés de recherche en cybersécurité ont également détecté le voleur de presse-papiers. Selon l’équipe de recherche de Sophos, le logiciel malveillant fonctionne comme un cheval de Troie qui surveille les ordinateurs pour utiliser leurs formats de porte-feuille.
Le logiciel malveillant est devenu très populaire auprès des hackers car de nombreuses personnes utilisent la méthode du copier-coller lorsqu’elles insèrent de longues adresses de portefeuilles pour accéder à leurs comptes ou les envoyer à une autre personne qui souhaite envoyer des paiements.
« Cette méthode repose sur la pratique selon laquelle la plupart des gens (si ce n’est tous) ne tapent pas les longs identifiants de portefeuille ; ils les stockent plutôt quelque part et utilisent le presse-papiers pour les copier quand ils en ont besoin », a déclaré Sophos. « Ainsi, lorsqu’ils initient un paiement vers un portefeuille et copient l’adresse dans le presse-papiers, le cheval de Troie le remplace rapidement par le propre portefeuille des criminels et le paiement est détourné vers leur compte. »
Toutefois, le rapport de Sophos indique que les adresses de pièces de monnaie liées au logiciel malveillant MyKings n’ont pas reçu d’importantes sommes d’argent. Cela montre que le logiciel malveillant n’était pas axé sur le vol de pièces de monnaie.
Cependant, c’est l’aspect minage de crypto-monnaies du logiciel malveillant qui semble bien fonctionner. Le logiciel malveillant a été exécuté pour des activités de minage depuis 2019, et en octobre 2019, la recherche menée par Sophos a estimé que le logiciel malveillant était utilisé pour gagner environ 10 000 dollars par mois.
MyKings se diversifie dans le vol de pièces de monnaie
Avast affirme maintenant que le logiciel malveillant MyKings n’est pas utilisé pour voler des pièces de monnaie, contrairement à ce qui se passait auparavant. Le rapport indique que le nombre d’adresses de portefeuilles de pièces de monnaie est passé des 49 signalées dans la recherche Sophos à plus de 1300 adresses de pièces. L’équipe d’Avast a déclaré que le nombre de pièces volées à l’aide du code voleur de presse-papiers pourrait être plus important que ce que l’équipe de recherche de Sophos a déclaré.
Les chercheurs d’Avast ont également noté que ce logiciel malveillant a réussi à voler des pièces parce que les utilisateurs qui collent les adresses de leur portefeuille ne s’attendent pas à ce qu’elles soient différentes de ce qu’ils ont copié.
« Il est facile de remarquer quand quelqu’un oublie de copier et de coller quelque chose de complètement différent (par exemple un texte au lieu d’un numéro de compte), mais il faut une attention particulière pour remarquer le changement d’une longue chaîne de chiffres et de lettres aléatoires en une chaîne d’apparence très similaire, comme les adresses de porte-monnaie cryptographiques », a déclaré Avast.
L’équipe de recherche d’Avast a déclaré qu’une technique aussi simple avait permis aux hackers de gagner plus de 24,7 millions de dollars. « Ce processus d’échange est réalisé à l’aide des fonctions OpenClipboard, EmptyClipboard, SetClipboardData et CloseClipboard ».
Nous recommandons vivement aux gens de toujours revérifier les détails des transactions avant d’envoyer de l’argent », a déclaré Avast.
Certains commentaires d’utilisateurs sur Etherscan ont également appuyé les recherches d’Avast. Ces utilisateurs ont déclaré qu’ils avaient accidentellement perdu des fonds en les transférant vers de mauvaises adresses de portefeuilles. Les utilisateurs ont déclaré que certains de ces fonds ont été transférés vers les comptes mis en évidence dans la recherche d’Avast.
