Le logiciel anti-malware Malwarebytes a mis en évidence deux nouveaux programmes informatiques malveillants propagés par des sources inconnues, et ciblant activement les investisseurs en cryptomonnaies dans un environnement de bureau. 

Depuis décembre 2022, les deux fichiers malveillants en question, le ransomware MortalKombat et le malware Laplas Clipper, prospectent activement sur Internet et volent les cryptomonnaies des investisseurs imprudents, a révélé l'équipe de recherche en renseignement sur les menaces, Cisco Talos. Les victimes de la campagne se trouvent principalement aux États-Unis, avec un plus petit pourcentage de victimes au Royaume-Uni, en Turquie et aux Philippines, comme indiqué ci-dessous.

Victimologie de la campagne malveillante. Source : Cisco Talos

Les logiciels malveillants travaillent en partenariat pour s'emparer des informations stockées dans le presse-papiers de l'utilisateur, qui sont généralement une chaîne de lettres et de chiffres copiée par l'utilisateur. L'infection détecte ensuite les adresses de portefeuilles copiées dans le presse-papiers et les remplace par une adresse différente.

L'attaque repose sur l'inattention de l'utilisateur à l'adresse du portefeuille de l'expéditeur, qui enverrait les cryptomonnaies au pirate non identifié. Sans cible évidente, l'attaque s'étend aux particuliers et aux petites et grandes organisations.

Notes de rançon partagées par le ransomware MortalKombat. Source : Cisco Talos

Une fois l'intrusion réussie, le ransomware MortalKombat crypte les fichiers de l'utilisateur et dépose une note de rançon contenant les instructions de paiement, comme illustré ci-dessus. Révélant les liens de téléchargement (URL) associés à la campagne d'attaque, le rapport de Talos indique :

« L'un d'eux atteint un serveur contrôlé par le pirate via l'adresse IP 193[.]169[.]255[.]78, basée en Pologne, pour télécharger le ransomware MortalKombat. Selon l'analyse de Talos, 193[.]169[.]255[.]78 exécute un RDP crawler, qui scanne Internet à la recherche du port RDP 3389 exposé. »

Comme l'explique Malwarebytes, la « campagne de tag-team » commence par un e-mail sur le thème des cryptomonnaies contenant une pièce jointe malveillante. La pièce jointe exécute un fichier BAT qui aide à télécharger et à exécuter le ransomware lorsqu'il est ouvert.

Grâce à la détection précoce des logiciels malveillants à fort potentiel, les investisseurs peuvent empêcher de manière proactive cette attaque d'avoir un impact sur leur bien-être financier. Comme toujours, Cointelegraph conseille aux investisseurs d'effectuer un contrôle préalable approfondi avant d'investir, tout en s'assurant de la source officielle des communications. Consultez cet article du magazine Cointelegraph pour savoir comment assurer la sécurité des actifs crypto.

À lire également : Le Département américain de la justice met la main sur le site Web du prolifique gang de ransomware Hive   

D'un autre côté, comme les victimes de ransomware continuent de refuser les demandes d'extorsion, les revenus des pirates liés aux ransomwares ont chuté de 40 % pour atteindre 456,8 millions de dollars en 2022.

Valeur totale extorquée par les auteurs de ransomware entre 2017 et 2022. Source : Chainalysis

Tout en révélant l'information, Chainalysis a noté que les chiffres ne signifient pas nécessairement que le nombre d'attaques est en baisse par rapport à l'année précédente.