Un nouveau malware s’est implanté dans la blockchain, la technologie au cœur des cryptomonnaies. Déployé par les pirates nord-coréens de Lazarus, le logiciel malveillant résiste à toute tentative de suppression.
Un nouveau logiciel malveillant, baptisé Omnistealer, a été découvert sur des blockchains publiques, ces réseaux décentralisés au cœur du fonctionnement des cryptomonnaies. Traditionnellement, les hackers hébergent plutôt la charge utile, c’est-à-dire la partie du code qui exécute des instructions malveillantes, sur des serveurs ou des fichiers partagés.
À lire aussi : Arnaque crypto sur l’App Store – cette fausse application Ledger a dépouillé des dizaines de personnes
Pourquoi cacher un virus sur la blockchain ?
Comme l’expliquent les chercheurs de Ransom-ISAC, le consortium international à l’origine de la découverte, Omnistealer se cache dans des transactions publiques sur des réseaux comme TRON, Aptos ou Binance Smart Chain. C’est au sein de ces transactions que les pirates dissimulent la charge utile du malware. Certains types de transactions blockchain autorisent l’ajout de petites quantités de données arbitraires, par exemple des notes, des métadonnées ou des paramètres de contrat intelligent. Les cybercriminels derrière Omnistealer en ont profité pour glisser du texte chiffré, des commandes ou même directement des morceaux de code malveillant. Ces éléments permettent au virus de reconstituer et de déclencher la charge finale au moment de la cyberattaque.
En exploitant la blockchain, les pirates parviennent à rendre leur infrastructure particulièrement résiliente. En effet, une transaction ne peut pas être effacée de la blockchain, ce qui permet au malware de résister à d’éventuelles offensives des autorités ou de chercheurs en sécurité. Sur les réseaux décentralisés, il n’est pas possible de supprimer quoi que ce soit. Toutes les données dans le registre sont immuables. Ce mécanisme est pensé pour rendre les réseaux blockchain résistants à la censure. La blockchain rend les opérations criminelles très difficiles à contrecarrer. S’il est possible de signaler un dépôt malveillant, de faire fermer un serveur, de retirer un fichier d’un service de stockage ou de faire disparaître un dépôt GitHub, il est impossible de faire de même avec une blockchain. Les chercheurs de MalwareBytes, qui relaient la découverte d’Omnistealer, soulignent qu’on « peut révoquer des domaines et supprimer des dépôts GitHub, mais on ne peut pas annuler les modifications apportées » à des réseaux comme Tron ou la Binance Smart Chain.
Sur le papier, il est théoriquement envisageable d’effacer des données dans une transaction, mais vous devez obtenir l’accord de plus de la moitié des validateurs du registre. C’est ce qu’on appelle une attaque 51 %. C’est très difficile à réussir car il faut contrôler plus de 50% de la puissance de calcul totale du réseau. Bref, les pirates se retranchent efficacement derrière les caractéristiques techniques de la chaîne de blocs. Pour MalwareBytes, les criminels transforment « les registres publics en une infrastructure de commandement et de contrôle résiliente et résistante à la censure, que les défenseurs ne peuvent pas simplement démanteler ».
À lire aussi : les hackers nord-coréens ont fait une nouvelle victime dans le monde des cryptos
Une tactique qui fait son grand retour
Ce n’est pas la première fois qu’un virus se cache dans le cœur de la blockchain. L’an dernier, des pirates nord-coréens, connus sous le nom de code UNC5342, avaient dissimulé le code de leurs logiciels malveillants dans des contrats intelligents (smart contracts) sur la blockchain Ethereum ou sur la Binance Smart Chain. Très répandus dans l’univers de la finance décentralisée, les contrats intelligents sont des programmes automatisés qui exécutent directement des actions sur une blockchain. Il s’agissait alors d’une tactique inédite, mais il semble que celle-ci a fini par donner des idées à d’autres groupes criminels.
Notez que d’ailleurs les enquêteurs du FBI ont pu retracer les activités d’Omnistealer jusqu’à un autre gang de pirates nord-coréen, le très connu Lazarus. Financés par la Corée du Nord, les pirates ont l’habitude de s’attaquer à des plateformes crypto, et sont passés maîtres dans l’art d’exploiter les technologies blockchain. On ne s’étonnera donc pas que Lazarus ait eu l’idée de cacher du code malveillant dans des transactions sur la blockchain.
Un pillage de données
Les investigations des chercheurs de Ransom-ISAC, accompagnés des experts de Crystal Intelligence, montrent qu’Omnistealer est surtout taillé pour le vol de données. Le malware cible plus d’une dizaine de gestionnaires de mots de passe tels que LastPass, les principaux navigateurs du marché, comme Chrome et Firefox, des comptes de stockage en ligne (Google Drive), ainsi que plus de 60 portefeuilles crypto basés sur des extensions de navigateur (MetaMask, Coinbase). Comme tous les malwares de type infostealer, le virus cherche à aspirer tout ce qu’il peut sur l’appareil qu’il a infecté. Il vise surtout des identifiants, des mots de passe, des cookies, des clés privées ou encore des jetons d’accès.
Selon les investigations de Ransom-ISAC, plus de 300 000 identifiants ont potentiellement été compromis. Des secteurs très variés, y compris la finance, la logistique, l’industrie, le divertissement pour adultes, la livraison de repas, et même certaines entités gouvernementales, se sont retrouvés dans le viseur des cybercriminels. Pour arriver à leurs fins, les pirates se servent de fausses offres pour des jobs de développement sur LinkedIn ou Upwork. Les pirates poussent leurs interlocuteurs à télécharger un dépôt GitHub piégé, qui se connecte ensuite à la blockchain pour activer le malware. Celui-ci va ensuite siphonner toutes les informations qu’il trouve.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
MalwareBytes
Source:
www.01net.com
