Actualités

KryptoCibule : un nouveau trojan bancaire visant les crypto-monnaies depuis, au moins, 2018 !

Depuis, officiellement, Décembre 2018, un malware d’un nouveau genre est apparut : nommé KryptoCibule, il serait centré sur les crypto-monnaies en utilisant des fichiers… torrents !

 

 

En effet, comme expliqué au sein d’un billet datant du 2 Septembre dernier, le vecteur principal est le protocole BitTorrent (voire Tor) dans lequel le cheval de Troie va voyager et pouvoir ainsi s’épanouir, via des téléchargements ou mises à jour diverses depuis un fichier ZIP. Ce dernier recèle deux composants qui sont chiffrés sous XOR et ne s’ouvrent que via une clé sous l’aspect d’un EXE. Une fois cette clé activée, cela active, de ce fait, le trojan qui sera déversé sur le système à l’insu de la victime. Concernant les mises à jours diverses, elles se font par le biais du client Daemon qui envoie la requête et réceptionne, en retour, un lien magnet URI qui permet de télécharger et d’installer l’ensemble de manière automatisée. Comme les fichiers torrents sont partageables en réseau (principe), la propagation peut vite s’étendre et une liste de ces URIs frauduleuses se constituent dans les profils des victimes qui, sans le savoir, télécharge ou partage ces liens. Cerise sur le gâteau, en cas de détection, le trojan se fera oublier ou s’auto-supprimera du système via une veille récurrente.

 

Il est indiqué que le port 9050 (proxy) est utilisé pour maintenir la communication système-serveur (control-and-command) au sein du réseau Tor ; en notant que le serveur recense et identifie, IP par IP, les terminaux. D’autres sont court-circuités : 9091 (Daemon RPC), 9999 (HTTPD Apache server), 9187 (SFTP Buru server), 9188 (Buru Web-admin) et 12461 (HTTP mini-Web server). Dans le cas des services relatifs à Onion, les URIs constituent le vecteur.

Une fois l’un ou l’autre schéma acquis, trois finalités se dessinent :

  • Minage de crypto-monnaies, en vérifiant que cela en vaut la peine, via des outils de veille pour s’assurer que le terminal possèdent encore assez de batterie ou que les ressources graphiques et logicielles ne sont pas bridées ;

 

  • Détournement des clés ou adresses depuis le presse-papier pour pointer vers le(s) compte(s) bancaire(s) ou bénéficiaire(s) malveillant(s) ;

  • Enfin, en toute logique, une ex-filtration de ces données.

La cyber-attaque concernait, pour l’heure, uniquement la République Tchèque (46,95 %) et la Slovquie (40,58 %)… A veiller !

 

 

Source : ESET – 2 Septembre 2020 – KryptoCibule : trojan crypto-bancaire.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020