Un ver qui voyage de clé USB en clé USB, surveille votre presse-papiers et remplace l'adresse crypto que vous collez par celle d'un pirate. Microsoft vient de lever le voile sur CryptoBandits.
Envoyer des cryptomonnaies, c'est manipuler de longues suites de caractères absolument impossibles à mémoriser (trente-quatre caractères pour une adresse Bitcoin standard, sans espace ni logique mnémotechnique). Tout le monde fait donc la même chose, invariablement : copier l'adresse du destinataire, la coller au bon endroit et vérifier machinalement les premiers et derniers caractères histoire de se donner bonne conscience. C'est exactement sur ce geste et sur cette vérification partielle que mise CryptoBandits, une campagne malveillante que les équipes de sécurité de Microsoft ont détaillée le 17 juin.
Depuis les clés USB, il surveille tout ce que vous copiez
Depuis février, le programme circule via des fichiers raccourcis (.lnk) glissés sur des clés USB, qu'il copie de machine en machine à la manière d'un ver (une technique que l'on croyait un peu poussiéreuse depuis les années 2000, et pourtant). Une fois installé sur Windows, il surveille le presse-papiers environ deux fois par seconde. Dès qu'il y repère une adresse de portefeuille (Bitcoin, Ethereum, Tron ou Monero), il la remplace silencieusement par une adresse pirate dont les premiers et derniers caractères imitent l'originale. De quoi passer inaperçu pour quiconque se contente de vérifier le début et la fin de ce qu'il colle, c'est-à-dire à peu près tout le monde.
Au-delà du détournement d'adresse, CryptoBandits traque aussi les phrases de récupération BIP39 et les clés privées éventuellement copiées dans le presse-papiers. Il prend en parallèle cinq captures d'écran espacées de dix secondes pour estimer les soldes disponibles (le genre d'attention préalable qu'on apprécierait davantage venant d'un banquier). Le butin transite ensuite par Tor, via un client portable rebaptisé ugate.exe pour l'occasion. Le logiciel peut aussi recevoir et exécuter du code à distance, ce qui en fait une porte dérobée légère à part entière. Pour brouiller les pistes localement, il vérifie en prime si le Gestionnaire des tâches est ouvert et suspend son exécution en conséquence.
Une technique vieille de dix ans qui se renouvelle
Les clippers, ces logiciels spécialisés dans le détournement de presse-papiers, ne sont pas une nouveauté. Les premiers spécimens ciblant le Bitcoin remontent à 2016-2017, et dès 2019, un exemplaire avait été repéré sur le Google Play, déguisé en application MetaMask. La technique de l'adresse sosie fait elle aussi des ravages depuis longtemps. Il y a quelques années, un internaute avait viré par mégarde l'équivalent de 68 millions de dollars vers le portefeuille d'un pirate dont l'adresse semblait identique à la sienne à première vue. Ce qui singularise CryptoBandits, c'est le cumul : propagation USB à l'ancienne, C2 dissimulé dans Tor, capacité d'exécution de code à distance. Des techniques connues de longue date, dont l'assemblage rend l'ensemble plus difficile à détecter qu'un infostealer ordinaire.
La parade la plus simple consiste à vérifier une adresse crypto caractère par caractère avant de valider un envoi, et non seulement les quatre ou cinq premiers et derniers. Désactiver l'exécution automatique des clés USB est une précaution vieille comme Windows, toujours d'actualité. Un portefeuille matériel affiche l'adresse finale sur son propre écran de confiance, indépendamment du contenu du presse-papiers, ce qui élimine le problème à la source. L'adresse que vous lisez sur le Ledger est celle qui sera réellement utilisée, quoi qu'un logiciel malveillant ait pu substituer entre-temps. Si une clé USB douteuse est passée par votre machine, le plus sage est de déplacer vos fonds depuis un appareil resté hors de portée.
