Les cybercriminels n’ont pas toujours besoin des techniques les plus avancées pour réussir leur coup. Les malfrats derrière « HackBoss », un malware détecté par l’équipe de recherche en cybersécurité d’Avast, en sont une nouvelle preuve. Une fois téléchargé et exécuté, ce malware très basique va espionner le presse-papier du PC de la victime. Quand l’utilisateur effectue un copier/coller ou un couper/coller, le presse-papier est l’espace qui accueille provisoirement le contenu qu’il va coller.
Le malware ne s’intéresse pas à tout le contenu qui y passe : il est construit de sorte à reconnaître uniquement le format des adresses de portefeuilles de cryptomonnaies. Composées de plus d’une vingtaine de caractères aléatoires, ces adresses sont extrêmement difficiles à retenir. Lors d’une transaction, copier/coller l’adresse peut prévenir d’une éventuelle erreur de frappe qui enverrait l’argent au mauvais endroit… Enfin, sauf dans notre cas.
Lorsque la victime va copier une adresse, le malware va la remplacer dans le presse-papier par l’adresse d’un portefeuille contrôlé par les malfaiteurs — les chercheurs en ont compté plus d’une centaine. Résultat : quand la victime va « coller » l’adresse du destinataire de la transaction dans le champ prévu à cet effet, elle va en réalité coller celle du malfrat. Et si elle valide la transaction, elle lui enverra involontairement l’argent.
Oui, si la victime est suffisamment attentive, elle remarquera que l’adresse qu’elle a copiée et celle qu’il a collée ne sont pas similaires, et elle ne validera pas la transaction. Mais ce manque de finesse du subterfuge ne l’empêche pas de fonctionner. D’après Avast, Hack Boss aurait récolté plus de 8,4 Bitcoin, 6,9 Ethereum ou encore 2 300 Dogecoin depuis la mise en place de son arnaque en novembre 2018.
Montant estimé du butin ? Plus de 560 000 dollars.
De faux outils de hacking délivrent un vrai malware
Le malware est simple, mais le piège pour le faire télécharger aux victimes l’est encore plus. Les malfrats ont créé une chaîne Telegram nommée « Hack Boss » — d’où le nom du malware –, qui prétend fournir « les meilleurs logiciels pour hackers ». Environ 7 fois par mois, ils publient de faux outils de hacking, sur ce canal accessible à n’importe qui. Chacune de ces publications est vue plus de 1 000 fois. On y retrouve des générateurs de codes de carte cadeau, des logiciels d’envoi de phishings ou encore des outils pour cracker les mots de passe. D’après Avast, aucun d’entre eux ne fonctionne.
Les victimes du malware se trouvent principalement au Nigeria, aux États-Unis, en Russie et en Inde, des pays avec de larges populations de hackers en herbe, relève The Record Media. Ce ciblage est malin : toutes les transactions dans les marchés noirs se font en cryptomonnaie et il est donc hautement probable que des cybercriminels en herbe en réalisent. En sachant comment les victimes ont récupéré le malware, difficile d’éprouver de la compassion pour elles, ou de mobiliser les autorités. Et c’est ainsi que le business de Hack Boss prospère depuis plus de deux ans.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !