Selon des chercheurs, un logiciel malveillant de vol de chiffrement particulièrement méchant a été remanié pour le rendre encore plus dangereux.
Les experts en cybersécurité d'Avast ont averti que le malware ViperSoftX Windows, un RAT basé sur JavaScript qui existe depuis plus de deux ans, a été mis à jour pour installer également un plug-in de navigateur Chrome (ouvre dans un nouvel onglet).
ViperSoftX surveille généralement le contenu du presse-papiers du terminal infecté, et s'il détecte que la victime copie et colle une adresse de portefeuille de crypto-monnaie, il remplacera celle du presse-papiers par celle appartenant aux attaquants. Ainsi, lorsque la victime envoie ses fonds, ils se retrouvent entre les mains des agresseurs.
Faux module complémentaire Google Sheets
Les adresses de crypto-monnaie sont une longue liste de caractères apparemment aléatoires, ce qui rend ce type de piratage relativement efficace. Le plugin fait essentiellement la même chose, mais un peu plus efficace. Il s'appelle Google Sheets 2.1, pour lever tout soupçon sur ses bonnes intentions envers les victimes.
"VenomSoftX fait principalement cela (vole la cryptographie) en connectant les demandes d'API à certains échanges cryptographiques très populaires que les victimes visitent ou ont un compte", ont déclaré les chercheurs. "Lorsqu'une certaine API est appelée, par exemple, pour envoyer de l'argent, VenomSoftX falsifie la demande avant qu'elle ne soit envoyée pour rediriger l'argent vers l'attaquant."
Avast indique que le cheval de Troie cible plusieurs acteurs majeurs de la cryptographie, notamment Coinbase, Binance, Kucoin, Gate.io et Blockchain.com. Cela ne s'arrête pas là, cependant : il garde également un œil sur le presse-papiers pour voir s'il y a d'autres portefeuilles qui y sont attachés.
Il y a deux détails effrayants à propos de VenomSoftX, l'un que l'extension peut modifier le HTML sur les sites Web, pour afficher l'adresse du portefeuille de crypto-monnaie de la victime. En d'autres termes, même une inspection visuelle de l'adresse après l'avoir collée n'aidera pas. De plus, le malware interceptera toutes les requêtes API aux services et fixera le montant de la transaction au maximum. De cette façon, même si la victime effectue d'abord une transaction test (une petite transaction de, disons, 10 €), elle perdra tout de même tous ses fonds.
Et enfin, pour Blockchain, il tentera de voler le mot de passe, si la victime le saisit sur le site.
Jusqu'à présent, selon les chercheurs, les attaquants ont réussi à voler divers cryptos d'une valeur d'environ 130 000 dollars. Nous ne savons pas combien de personnes ont été infectées, mais nous savons que la plupart des victimes se trouvent aux États-Unis, en Italie, au Brésil et en Inde.
Google Sheets 2.1 n'existe pas, donc si vous voyez ce plugin installé, assurez-vous de le supprimer immédiatement.
Via : BleepingComputer (Ouvre dans un nouvel onglet)