Microsoft met en garde contre une menace émergente ciblant les portefeuilles de crypto-monnaie connectés à Internet, signalant un départ dans l’utilisation des pièces numériques dans les cyberattaques. Le géant de la technologie a surnommé la nouvelle menace « cryware », les attaques entraînant le vol irréversible de monnaies virtuelles au moyen de transferts frauduleux vers un portefeuille contrôlé par l’adversaire. « Les cryowares sont des voleurs d’informations qui collectent et exfiltrent des données directement à partir de portefeuilles de crypto-monnaie non dépositaires, également appelés portefeuilles chauds », ont déclaré Berman Enconado et Laurie Kirk de l’équipe de recherche Microsoft 365 Defender dans un nouveau rapport. « Parce que les portefeuilles chauds, contrairement aux portefeuilles de garde, sont stockés localement sur un appareil et offrent un accès plus facile aux clés cryptographiques nécessaires pour effectuer des transactions, de plus en plus de menaces les ciblent. » Les attaques de ce genre ne sont pas théoriques. Plus tôt cette année, Kaspersky a dévoilé une campagne à motivation financière organisée par le groupe Lazarus basé en Corée du Nord, qui impliquait de cibler des sociétés de cryptographie avec des logiciels malveillants conçus pour drainer des fonds des portefeuilles chauds.
Cryware englobe les menaces suivantes – Les cryptojackers qui consomment subrepticement les ressources de l’appareil d’une cible pour exploiter la crypto-monnaie Campagnes de ransomwares qui utilisent la crypto-monnaie comme paiement de rançon pour éviter d’être détectés Les voleurs d’informations (par exemple, Mars Stealer, RedLine Stealer, Arkei et Raccoon) qui sont de plus en plus mis à niveau pour siphonner les données du portefeuille actif aux côtés d’autres informations précieuses stockées dans le système, et ClipBankers (alias clippers) qui volent la crypto-monnaie pendant les transactions en surveillant le presse-papiers et en remplaçant l’adresse du portefeuille d’origine par l’adresse de l’attaquant Ces attaques de vol d’informations visent à extraire des données de portefeuille chaud telles que des clés privées, des phrases de départ et des adresses de portefeuille, permettant ainsi à l’auteur de la menace d’initier des transactions malveillantes et de transférer des fonds vers un autre portefeuille.
Alternativement, on a également observé que les cybercriminels exploitaient des techniques telles que le vidage de mémoire pour afficher les clés privées en texte clair, l’enregistrement de frappe pour capturer les frappes saisies par une victime ou la conception de sites Web de portefeuille similaires pour inciter les utilisateurs à entrer leurs clés privées. Pour atténuer ces menaces, Microsoft recommande aux utilisateurs et aux organisations de verrouiller les portefeuilles actifs lorsqu’ils ne négocient pas, de déconnecter les sites connectés à un portefeuille, d’éviter de stocker les clés privées en clair et de vérifier la valeur de l’adresse du portefeuille lors du copier-coller des informations. « Cryware signifie un changement dans l’utilisation des crypto-monnaies dans les attaques : non plus comme un moyen pour parvenir à une fin, mais comme la fin elle-même », ont déclaré les chercheurs.