CryptoClippy Malware fonctionne comme un voleur
CryptoClippy est une forme de malware qui fonctionne comme un clipper de crypto-monnaie.
Son objectif principal est de surveiller le presse-papiers de l'utilisateur et de détecter les cas où l'utilisateur copie une adresse de portefeuille de crypto-monnaie. Une fois identifié, le malware remplace l'adresse copiée par celle de l'attaquant. Un clipper de crypto-monnaie est un type de logiciel malveillant destiné à voler la crypto-monnaie à des victimes sans méfiance. Le logiciel malveillant fonctionne en surveillant le presse-papiers de la victime, qui stocke temporairement les données copiées ou coupées, y compris une adresse de portefeuille de crypto-monnaie.
Lorsque le clipper détecte que la victime a copié une adresse de portefeuille, il remplace la véritable adresse par celle de l'attaquant, ce qui entraîne la redirection des paiements en crypto-monnaie vers le portefeuille de l'attaquant. La victime peut ne pas se rendre compte de l'activité malveillante avant qu'il ne soit trop tard et que les fonds aient déjà été prélevés.
En plus de fonctionner comme un clipper de crypto-monnaie, CryptoClippy possède également d'autres fonctionnalités qui aident les attaquants à voler la crypto-monnaie. Parmi ces fonctionnalités figure sa capacité à créer une porte dérobée via le protocole RDP (Remote Desktop Protocol) en implémentant un script PowerShell crypté RC4.
CryptoClippy a des fonctionnalités spécifiques liées au ciblage des portefeuilles de crypto-monnaie Ethereum et Bitcoin. Il est prouvé que les pirates responsables de CryptoClippy se concentrent principalement sur les utilisateurs lusophones.
Comment fonctionnent généralement les variantes des logiciels malveillants Cryptostealer ?
Les variantes de logiciels malveillants Cryptostealer sont conçues pour voler la crypto-monnaie des portefeuilles des victimes en compromettant leur sécurité. Ils fonctionnent en surveillant l'appareil de la victime pour la présence d'adresses de portefeuille de crypto-monnaie, qui sont souvent copiées et collées dans le presse-papiers pour une utilisation facile.
Une fois qu'une adresse de portefeuille est détectée, le logiciel malveillant la remplace par une adresse contrôlée par l'attaquant, redirigeant tous les paiements de crypto-monnaie vers le portefeuille de l'attaquant au lieu de celui du destinataire prévu. Les cryptostealers peuvent également être programmés pour surveiller les frappes au clavier et prendre des captures d'écran pour voler les identifiants de connexion ou d'autres informations sensibles.
Certaines variantes de cryptostealer incluent également des fonctionnalités de porte dérobée, telles que la possibilité d'établir une connexion RDP (Remote Desktop Protocol) ou d'exécuter des commandes à distance. Cela permet aux attaquants de conserver l'accès à l'appareil de la victime et de continuer à voler de la crypto-monnaie ou d'autres données sensibles sur une période prolongée.
Les cryptostealers peuvent être distribués via une variété de méthodes, y compris les e-mails de phishing, les téléchargements malveillants ou les tactiques d'ingénierie sociale. Une fois installés sur l'appareil d'une victime, ils restent souvent cachés pour éviter d'être détectés par un logiciel de sécurité, ce qui les rend difficiles à détecter et à supprimer.