Selon des chercheurs, un logiciel malveillant de vol de cryptographie particulièrement méchant a fait peau neuve pour le rendre encore plus dangereux.
Les experts en cybersécurité d’Avast ont averti que le malware ViperSoftX Windows, un RAT basé sur JavaScript qui existe depuis plus de deux ans, a été mis à niveau pour installer également un navigateur Chrome (s’ouvre dans un nouvel onglet) Ajouter.
Habituellement, ViperSoftX surveille le contenu du presse-papiers du point de terminaison infecté, et s’il repère la victime en train de copier et coller une adresse de portefeuille de crypto-monnaie, il remplacera celle du presse-papiers par celle appartenant aux attaquants. De cette façon, lorsque la victime envoie ses fonds, ils se retrouvent entre les mains des attaquants.
Faux module complémentaire Google Sheets
Les adresses de crypto-monnaie sont une longue ligne de caractères apparemment aléatoires, ce qui rend ce type de piratage relativement efficace. L’add-on fait essentiellement la même chose, mais un peu plus efficacement. Il s’appelle Google Sheets 2.1, pour lever tout soupçon sur ses bonnes intentions envers les victimes.
« VenomSoftX fait principalement cela (vole la crypto) en accrochant les demandes d’API sur quelques échanges de crypto très populaires que les victimes visitent/ont un compte avec », ont déclaré les chercheurs. « Lorsqu’une certaine API est appelée, par exemple, pour envoyer de l’argent, VenomSoftX falsifie la demande avant qu’elle ne soit envoyée pour rediriger l’argent vers l’attaquant à la place. »
Avast indique que le cheval de Troie cible plusieurs acteurs majeurs de la cryptographie, tels que Coinbase, Binance, Kucoin, Gate.io et Blockchain.com. Cependant, cela ne s’arrête pas là – il garde également un œil sur le presse-papiers pour tout autre portefeuille collé.
Il y a deux détails effrayants à propos de VenomSoftX, l’un que l’extension peut modifier le HTML sur les sites Web, pour afficher l’adresse du portefeuille de crypto-monnaie de la victime. En d’autres termes, même une inspection visuelle de l’adresse, après le collage, n’aidera pas. De plus, le malware interceptera toutes les requêtes API aux services et fixera le montant de la transaction au maximum. De cette façon, même si la victime effectue d’abord une transaction test (une petite transaction de, disons, 10 $), elle perdra toujours tous ses fonds.
Et enfin, pour Blockchain, il tentera de voler le mot de passe, si la victime le saisit sur le site.
Jusqu’à présent, selon les chercheurs, les attaquants ont réussi à voler quelque 130 000 $ de divers cryptos. Nous ne savons pas combien de personnes ont été infectées, mais nous savons que la plupart des victimes se trouvent aux États-Unis, en Italie, au Brésil et en Inde.
Google Sheets 2.1 n’existe pas, donc si vous voyez ce module complémentaire installé, assurez-vous de le supprimer immédiatement.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)