Un nouveau malware repéré dans la nature met en danger les portefeuilles de Cryptomonnaie

À retenir :

• Anubis est un nouveau malware qui peut cibler les portefeuilles de Cryptomonnaie et d'autres données sensibles. Il est disponible à la vente sur les Marchés du dark web depuis juin, et Microsoft a désormais constaté des campagnes d'attaque limitées l'utilisant.
• Les experts recommandent de ne pas visiter de sites Web douteux ni d’ouvrir des pièces jointes, des liens ou des e-mails étranges ou suspects.
• L’intérêt croissant pour les cryptomonnaies, comme nous l’avons vu ces derniers mois, suscite généralement l’intérêt de nouveaux utilisateurs qui peuvent être particulièrement vulnérables à ce type d’attaques.

Une nouvelle forme de malware appelée Anubis est désormais disponible dans le monde après avoir été mise en vente sur les Marchés noirs de la cybercriminalité en juin, selon Microsoft Security Intelligence. À l'aide d'un code dérivé du malware Loki, Anubis peut voler des identifiants de portefeuille de Cryptomonnaie , des informations système, des informations de carte de crédit et d'autres données.

Il est important de noter que ce malware est différent d'une famille de malwares bancaires Android également appelés Anubis. Il rejoint une liste croissante de malwares qui recherchent des caches de Cryptomonnaie vulnérables.

« Le logiciel malveillant est téléchargé à partir de certains sites Web. Il vole des informations et les envoie à un serveur C2 (commande et contrôle) via une commande HTTP POST », a déclaré Tanmay Ganacharya, directeur associé de la recherche en sécurité chez Microsoft.

HTTP Post est en fait une Request de données provenant d'Internet. Il est également utilisé lorsque vous téléchargez un fichier ou soumettez un formulaire Web complété.

Voir aussi :Un pirate informatique a volé les données personnelles de 1 000 traders auprès d'un service de déclaration fiscale sur les Crypto

« Lorsqu’il est exécuté avec succès, il tente de voler des informations et les envoie à un serveur C2 via la commande HTTP POST », a-t-il déclaré. « La commande POST renvoie des informations sensibles qui peuvent inclure des noms d’utilisateur et des mots de passe, tels que des informations d’identification enregistrées dans les navigateurs, des informations de carte de crédit et des identifiants de portefeuille de Cryptomonnaie . »

Éviter Anubis : ce que nous savons

Parham Eftekhari, directeur exécutif du Cybersecurity Collaborative, un forum pour les professionnels de la sécurité, a examiné les images de code tweetées par Microsoft et a déclaré que peu d'informations sur le malware Windows Anubis avaient été publiées.

Mais le bot Loki (dont le code Anubis a été tiré) a été diffusé via des courriels d’ingénierie sociale avec des pièces jointes portant l’extension « .iso ». Ces messages se faisaient passer pour des commandes et des offres d’autres entreprises et étaient envoyés à des adresses électroniques d’entreprises accessibles au public, parfois à partir du site Web d’une entreprise.

Pour éviter Anubis, Eftekhari a déclaré que les gens ne devraient pas ouvrir de pièces jointes ou d’e-mails qu’ils n’attendent pas ou qui leur semblent inconnus.

« Ils doivent déployer des applications anti-malware sur leurs systèmes et les analyser et les mettre à jour fréquemment », a-t-il déclaré. « Enfin, lorsqu’ils accèdent à des comptes sensibles tels que des applications bancaires, ils doivent utiliser des navigateurs sécurisés ou Politique de confidentialité qui peuvent empêcher les logiciels malveillants d’enregistrer les frappes au clavier ou les captures d’écran. »

Ganacharya a déclaré que comme de nombreuses menaces, ce nouveau malware tente de rester sous le radar, de sorte qu'il ne présente T d'indices visuels évidents. Les utilisateurs peuvent vérifier la présence de fichiers suspects et de processus en cours d'exécution (par exemple, ASteal.exe, Anubis Stealer.exe) ainsi que le trafic réseau suspect.

Voir aussi :Binance et Oasis Labs lancent une alliance pour lutter contre la fraude et le piratage des Crypto

De son côté, Microsoft a mis à jour sa solution Defender Advanced Threat Protection (Microsoft Defender ATP) pour détecter les malwares Anubis et la surveillera pour voir si les campagnes commencent à se propager. Microsoft Defender ATP utilise une protection basée sur l'IA et fournie dans le cloud pour se défendre contre les menaces nouvelles et inconnues en temps réel

Les autres utilisateurs doivent se méfier de la visite de sites Web inconnus ou suspects, ou de l'ouverture d'e-mails, de pièces jointes et d'URL suspects, a déclaré Ganacharya. De plus, les utilisateurs peuvent activerblocage d'applications indésirables dans Microsoft Edge pour obtenir une protection contre les mineurs de Cryptomonnaie et autres logiciels pouvant affecter les performances des appareils.

Mais pour les professionnels de la sécurité, il existe des signes révélateurs lorsqu'ils analysent un système. ONEun d'entre eux est celui des indicateurs de compromission, qui indiquent qu'un système a été piraté. Il peut s'agir d'un trafic réseau sortant inhabituel ou d'une activité inhabituelle sur un compte.

Logiciels malveillants et Cryptomonnaie

Bien que les logiciels malveillants, ou conçus pour être malveillants, ne soient T nouveaux, ils sont de plus en plus utilisés dans la communauté des Cryptomonnaie .

« Au cours des trois dernières années, nous avons constaté une augmentation du nombre de programmes malveillants ciblant les ordinateurs des utilisateurs qui, en plus d'essayer d'enregistrer/voler des mots de passe, sont spécialisés dans la récupération des crypto-monnaies dans le système de la victime », a déclaré Paolo Ardoino, CTO de Bitfinex.

Ardoino a déclaré que les détenteurs de Cryptomonnaie férus de technologie utilisent généralement un portefeuille matériel et stockent leur seed (les informations qui génèrent et récupèrent un portefeuille) hors ligne. Les utilisateurs moins expérimentés, en revanche, en raison de la peur de perdre le seed de leur portefeuille, peuvent le KEEP sur leur ordinateur. Les logiciels malveillants peuvent alors accéder au gestionnaire de mots de passe ou à un autre site de stockage en ligne pendant que l'utilisateur y accède, et copier et coller les mots de passe.

Voir aussi :L'ingénierie sociale : un fléau pour les Crypto et Twitter, qui ne risque pas de s'arrêter

Selon Ardoino, un autre type d'attaque que les logiciels malveillants peuvent exécuter consiste à vérifier si l'ordinateur exécute un nœud de blockchain qui contient un fichier de portefeuille non protégé. Même si ce fichier de portefeuille contient un mot de passe, si le logiciel malveillant utilise un enregistreur de frappe (ou keylogger), il peut capturer tout ce qu'un utilisateur tape sur l'ordinateur.

Il a déclaré qu'il existe de nombreuses nuances, mais à mesure que la Cryptomonnaie se rapproche de l'adoption massive, des pratiques de garde négligentes pourraient rendre les portefeuilles de Cryptomonnaie des gens plus faciles à cibler que les banques ou même les cartes de crédit.

Hausse du Bitcoin (BTC) et l'éther (ETH), comme celles que nous avons vues ces derniers mois, pourraient susciter l’intérêt de nouveaux utilisateurs qui peuvent être particulièrement sensibles à ce type d’attaques.

La pandémie crée de nouvelles vulnérabilités

La menace des logiciels malveillants n’a fait qu’augmenter à mesure que les gens ont été poussés à travailler et à vivre à distance pendant la pandémie de coronavirus, augmentant le temps qu’ils passent en ligne et le nombre de systèmes qu’ils utilisent.

Voir aussi :Ces cartes SIM illicites facilitent les piratages comme celui de Twitter

Selon unrapport récentSelon Malwarebytes, une société spécialisée dans la lutte contre les logiciels malveillants, des programmes tels qu'AveMaria et NetWiredRC, qui permettent des failles telles que l'accès au bureau à distance et le vol de mots de passe, ont connu une augmentation considérable de leur utilisation pendant la pandémie. AveMaria a enregistré une augmentation de 1 219 % de janvier à avril par rapport à 2019 ; NetWiredRC a observé une augmentation de 99 % des détections de janvier à juin, ciblant principalement les entreprises.

La défense évidente est-elle la meilleure défense ?

Paul Walsh, PDG de la société de cybersécurité MetaCert, a déclaré qu'au vu des vecteurs d'attaque identifiés, les modèles traditionnels d'identification et de protection contre ces attaques sont erronés.

La grande majorité des programmes malveillants sont transmis via des courriers électroniques de phishing et des URL malveillantes, qui sont cinq ONE plus nombreux que les pièces jointes dangereuses (comme Anubis), selon Walsh.

« La plupart des problèmes de sécurité impliquant des URL dangereuses ne sont pas détectés et, par conséquent, ne sont pas bloqués », a-t-il déclaré.

Voir aussi :L'approche « Whac-a-Mole » de YouTube face aux publicités frauduleuses liées aux Crypto reste problématique

Il existe des milliers de fournisseurs de sécurité dans le monde, mais seul un petit nombre d'entre eux possède son propre « système de renseignement sur les menaces », un terme sophistiqué désignant une grande base de données de menaces et de menaces potentielles. Ces entreprises concèdent ces données sous licence à d'autres entreprises. Bien que la société de Walsh, Metacert, dispose d'un système de renseignement sur les menaces, elle peut avoir des URL que Google, par exemple, ne possède T. Il s'agit au mieux d'une solution de fortune.

Et si les gens adaptent leurs attaques de spear-phishing à une entreprise spécifique, les dégâts sont généralement faits assez rapidement, avant qu'une base de données de sécurité ou une entreprise puisse se rendre compte de l'existence d'un site Web personnalisé.

Selon Walsh, la durée de vie, ou le délai au bout duquel une attaque de phishing atteint son objectif, est d'environ sept minutes. Mais les sociétés de sécurité peuvent mettre jusqu'à deux ou trois jours pour identifier et VET de nouvelles attaques de phishing, en particulier si elles sont conçues pour une entreprise ou un particulier.

Walsh affirme que les mots de passe forts et l'authentification à deux facteurs sont importants. Yubikey, une version matérielle de l'authentification à deux facteurs, est une étape supérieure, mais elle n'est pas prise en charge par tous les sites Web.