Un nouveau variant de malware en veut (encore) à vos cryptothunes (mais pas que) ! |
————— 06 Mai 2021 à 08h48 —— 11306 vues
Que les malwares s'intéressent aux cryptomonnaies n'est absolument pas nouveau, après tout, il faut bien vivre avec son temps, s'adapter pour survivre ou disparaître. En 2017/2018, le minage illicite avait déjà fait pas mal de vagues, du banal cryptojacker planqué dans le code d'une page web quelconque (parfois contre le gré du site, parfois intégré volontairement) pour miner à l'insu de l'utilisateur, au malware plus coriace et « intelligent » capable de se dérober au regard inquisiteur de sa cible. Les cryptomonnaies n'ayant toujours pas disparues, bien au contraire, les cours à la hausse et le minage toujours très en vogue ont encore inspirés un peu de malveillance, tous les moyens sont bons pour surfer la nouvelle vague.
Il s'agit d'un nouveau type de malware baptisé Panda Stealer, Panda voleur en frenchie, un p'tit nom bien mignon derrière lequel semble se cacher une variante du malware Collector Stealer, dont une build crackée est disponible librement en ligne. Il n'y aurait toutefois pas d'indication quant à un auteur ou une organisation criminelle spécifiques. Dans un cas, Trend Micro a été en mesure d'identifier une adresse IP utilisée pour contrôler le malware, celle-ci a mené tout droit vers un serveur virtuel loué chez Shock Hosting, suspendu depuis. De son côté, VirusTotal a trouvé pas moins de 264 fichiers similaires dans sa base de données, renvoyant vers plus de 140 serveurs C&C et au moins 10 sites de téléchargement.
Le malware se distribue via des emails de phishing et des liens malicieux, parfois sur Discord. Généralement, il s'agit d'un fichier XLSM en attaché, rempli de vilaines macros. Une fois activées, ces dernières téléchargent un « loader » qui exécutera ensuite l'application principale du malware. Parfois, l'attaque se fait aussi par l'intermédiaire d'un fichier XLS téléchargeable, exécutant une commande Powershell furtive capable d'accéder au site paste.ee, d'où sera téléchargée une nouvelle commande PowerShell pour permettre l'exécution de Panda Stealer. Dès lors que celui-ci est à l’œuvre, il s'efforcera de détecter et collecter toutes sortes d'informations vitales et sensibles liées aux transactions de cryptomonnaies et aux porte-monnaies — en l'occurrence, avant tout ceux de Dash, Bytecoin, Litecoin et Ethereum. Mais il ne s'arrêtera pas là, puisqu'il essayera également de dérober les identifiants pour bon nombre d'applications, comme Discord, Telegram, Steam et NordVPN, et de siphonner au passage les données les plus sensibles des navigateurs. Enfin, Panda Stealer est aussi capable de prendre des captures d'écran.
Encore une petite piqûre de rappel - qui n'est jamais de trop - qu'il fait bon de bien garder à jour son antivirus, mais surtout, que le plus important est de ne surtout jamais ouvrir ni cliquer sur n'importe quoi. De manière générale, la grande majorité des infections se font toujours encore par une mauvaise action de la part de la future victime. (Source : Trend Micro, via Tom's)
