Cisco Talos met en garde contre de nouvelles attaques de logiciels malveillants contre les investisseurs en crypto
Dans la crypto-monnaie, les investisseurs sont toujours à la recherche de menaces potentielles qui pourraient mettre leurs investissements en danger. Malheureusement, deux nouvelles menaces de logiciels malveillants ont récemment fait leur apparition : le logiciel malveillant Laplas Clipper et le logiciel de rançon MortalKombat.
Selon Cisco Talos (une société de renseignement sur les cybermenaces), ces deux fichiers malveillants surveillent activement Internet depuis décembre 2022, dans l’intention de voler des crypto-monnaies à des investisseurs sans méfiance.
Malwarebytes découvre deux nouveaux programmes malveillants ciblant les investisseurs en crypto-monnaie
Depuis décembre 2022. visant activement à voler des crypto-monnaies aux investisseurs utilisant des systèmes de bureau. L’équipe de recherche Cisco Talos sur les menaces a révélé que ces deux fichiers contenant des logiciels malveillants (malware Laplas Clipper et rançongiciel MortalKombat) ont activement recherché sur le Web.
La plupart des victimes viennent des États-Unis, avec un plus petit nombre du Royaume-Uni, des Philippines et de Turquie. Les logiciels malveillants fonctionnent en tandem pour accéder aux données enregistrées dans le presse-papiers d’un utilisateur, généralement une séquence de lettres et de chiffres copiés par l’individu.
Le logiciel malveillant détecte toutes les adresses de portefeuille copiées dans le presse-papiers et les remplace par une adresse différente. Le manque d’attention de l’utilisateur à l’adresse de destination de la crypto-monnaie permet l’attaque, et un attaquant non identifié pourrait recevoir les fonds.
Cette attaque peut nuire aux petites et grandes organisations, ainsi qu’aux utilisateurs individuels. Une fois infiltré dans le système, le rançongiciel MortalKombat verrouille les documents de l’utilisateur.
Souvent, il laisse une note de rançon fournissant des instructions de paiement. Le rapport de Talos a identifié les URL liées à la campagne d’attaque et a souligné que l’une est connectée à un serveur géré par l’attaquant.
Leur analyse a révélé que l’adresse IP exécutait un robot d’exploration du protocole de bureau à distance recherchant le port 3389 ouvert du protocole de bureau à distance, à partir duquel le rançongiciel MortalKombat serait téléchargeable.
La pièce jointe est un fichier BAT qui, s’il est ouvert, aidera au téléchargement et à l’exécution du ransomware.
Les victimes de demandes de rançon sont plus réticentes à répondre aux demandes – Chainalysis
Malgré une augmentation du nombre de différentes variétés de ransomwares en circulation, les revenus ont diminué, explique Fortinet, une société de cybersécurité. Cependant, Chainalysis, une société de renseignement sur la blockchain, a fourni des données dans un rapport publié le mois dernier qui a révélé que le nombre de cyberattaques était resté le même par rapport à l’année précédente.
La firme a expliqué que les organisations sont devenues plus vigilantes avec leurs précautions de sécurité et que les victimes de demandes de rançon sont devenues plus réticentes à répondre aux demandes des assaillants. En outre, Chainalysis a déclaré que l’immuabilité de la technologie blockchain rend plus difficile pour les assaillants de réussir leurs tentatives, car les enquêteurs peuvent rapidement reconnaître de tels efforts :
« Les enquêteurs peuvent détecter rapidement ces réallocations une fois exécutées, grâce à la transparence de la blockchain. » Fait intéressant, l’utilisation par les attaquants de rançongiciels des échanges centralisés de crypto-monnaie pour déplacer les fonds est passée à 48,3 % en 2022, contre 39,3 % en 2021.
