Une nouvelle menace pèse sur vos cryptomonnaies. En septembre dernier, des chercheurs de Kaspersky ont révélé la présence de nombreuses applications mobiles malveillantes sur le Google Store, visant directement vos actifs numériques. Plus récemment, l’équipe de cybersécurité de Kaspersky a détecté une nouvelle menace, cette fois ciblant les extensions de Microsoft Office.
- Les chercheurs de Kaspersky ont découvert un malware dissimulé dans une extension de Microsoft Office, ciblant spécifiquement vos cryptomonnaies.
- Nommé ClipBanker, ce malware substitue discrètement les adresses crypto copiées par celles contrôlées par des hackers, compromettant vos transactions financières.
Un malware dans une extension Microsoft Office
Suite Office de Microsoft est prisée tant par les utilisateurs individuels que professionnels, et les hackers semblent en être bien conscients.
Le 8 avril, les chercheurs de Kaspersky ont à nouveau tiré la sonnette d’alarme concernant un malware visant vos cryptomonnaies. Comme souvent, celui-ci est dissimulé au sein d’un programme apparemment anodin.
Le programme concerné est une extension pour Office Add-in, une fonctionnalité de Microsoft Office permettant d’ajouter des capacités aux applications. Cette option est particulièrement appréciée par les développeurs, leur offrant la possibilité de personnaliser les logiciels.
Cependant, bien qu’un code légitime de cette extension soit disponible sur GitHub, la version sur SourceForge contient un malware. À titre de rappel, SourceForge est un site où divers logiciels peuvent être téléchargés, fonctionnant comme un supermarché d’applications.
ClipBanker, un copier-coller qui peut coûter cher
Une fois installé, le logiciel multiplie les actions pour se protéger. Il commence par vérifier que l’appareil n’est pas déjà infecté, afin d’éviter de se confronter à lui-même.
Par la suite, il réalise diverses actions pour masquer son activité sur la machine, évitant ainsi d’être détecté par les antivirus.
Enfin, une fois bien en place, il passe à l’action, ciblant vos cryptomonnaies.
Contrairement à la plupart des logiciels malveillants qui tentent de voler vos clés privées et phrases de récupération, celui-ci adopte une méthode distincte. En effet, le malware ClipBanker remplace toute adresse crypto copiée dans le presse-papier par une adresse contrôlée par le hacker.
Sans que vous ne vous en aperceviez, lorsque vous copiez une adresse pour effectuer un transfert, le malware la substitue par celle du hacker. Si vous n’y prêter pas attention, vous risquez d’envoyer vos fonds à un inconnu plutôt qu’à l’adresse souhaitée.
« Les utilisateurs de portefeuilles cryptographiques copient généralement les adresses au lieu de les saisir. Si l’appareil est infecté par ClipBanker, l’argent de la victime se retrouvera dans un endroit totalement imprévu. »
Les équipes de Kaspersky rapportent que ce malware cible principalement les utilisateurs russophones.
Bien que l’infection par des logiciels malveillants ne soit pas une nouveauté, ce malware se distingue par plusieurs caractéristiques. D’une part, il est intégré dans un logiciel provenant d’une source souvent considérée comme fiable, à savoir SourceForge. De plus, plutôt que de dérober vos clés privées, il se concentre sur les contenus copiés.
Récemment, des experts de Kaspersky ont également révélé un important réseau de vente de téléphones Android, donnant l’apparence d’être neufs, mais contenant un logiciel malveillant. Comme à l’accoutumée, le but de ce malware est de dérober les cryptomonnaies des utilisateurs.
