ClipBanker : Quand un simple copier-coller devient une menace pour vos cryptos

Une nouvelle menace pour vos cryptos. En septembre dernier, les chercheurs de Kaspersky ont dévoilé que plusieurs centaines d’applications mobiles vérolées circulaient sur le Google Store. Sans surprise, celles-ci en avaient après vos crypto. Récemment, l’équipe de cybersécurité de Kaspersky a mis en lumière une nouvelle menace, cette fois-ci ciblant les extensions Microsoft Office.

Un malware dans une extension Microsoft Office

La Suite Office de Microsoft est une référence aussi bien pour les particuliers que les professionnels. Et ça, les hackers l’ont bien compris.

Le 8 avril, les chercheurs de Kaspersky ont, une nouvelle fois, tiré la sonnette d’alarme. Une fois de plus, cela concerne un malware qui en a après vos cryptomonnaies. Sans surprise, celui-ci est bien caché au cœur d’un programme de prime abord inoffensif.

En pratique, le programme en question n’est autre qu’une extension pour Office Add-in, une solution de Microsoft Office qui permet d’ajouter des fonctionnalités aux applications Office. Une solution particulièrement appréciée des développeurs, qui peuvent ainsi customiser les logiciels à leur convenance.

Toutefois, bien qu’un code légitime de cette extension soit disponible sur GitHub, la version proposée sur SourceForge contient quant à elle un logiciel malveillant. Pour rappel, SourceForge est un site permettant de télécharger divers logiciels, une sorte de supermarché des logiciels.

ClipBanker, un copier-coller qui peut coûter cher

Une fois le logiciel installé, celui-ci multiplie les actions pour se protéger. Dans un premier temps, il va par exemple vérifier que la machine n’est pas déjà infectée afin de ne pas se gêner lui-même.

Ensuite, il va effectuer une série d’actions ayant pour but de dissimuler son action sur la machine afin de ne pas se faire détecter par l’antivirus.

Enfin, une fois bien installé, celui-ci passe à l’action. Vous vous en doutez, sa cible est simple : vos cryptomonnaies.

Alors que la plupart des logiciels malveillants de ce type vont chercher vos clés privées et autres seed phrases, celui-ci emploie une autre méthode. En effet, il va utiliser un malware intitulé ClipBanker. Celui-ci a pour but de remplacer toute adresse crypto qui serait copiée dans le presse-papier par une adresse contrôlée par le hacker.

Ainsi, sans vous en douter, vous allez copier votre adresse pour effectuer un transfert, le malware va la remplacer par celle du hacker et si vous ne faites pas attention, vous allez envoyer vos fonds au hacker plutôt que sur l’adresse que vous aviez initialement copiée.

« Les utilisateurs de portefeuilles cryptographiques copient généralement les adresses au lieu de les taper. Si l’appareil est infecté par ClipBanker, l’argent de la victime se retrouvera dans un endroit totalement inattendu. »

D’après les équipes de Kaspersky, ce logiciel malveillant cible principalement les utilisateurs russophones.

Bien que l’usage de logiciel vérolé n’ait rien de novateur, ce malware se différencie sur plusieurs points. D’une part, il est contenu dans un logiciel provenant d’une source fréquemment jugée comme sûre, à savoir SourgeForge. D’autre part, plutôt que de dérober vos clés privées, celui-ci cible les copier-coller.

Récemment, les experts de Kaspersky ont également révélé un important dispositif de vente de téléphones Android, d’apparence neuf, qui contenaient un malware. Comme toujours, le logiciel malveillant a pour mission de dérober les cryptomonnaies des utilisateurs.