Imaginez qu’un beau jour, vous décidiez d’utiliser BItcoin pour payer, par exemple, une pizza. Vous copiez l’adresse du portefeuille du site internet de la pizzeria, insérez le montant requis et cliquez sur Envoyer. Le transfert a lieu, mais votre pizza n’arrive pas. Les propriétaires de la pizzeria disent ne pas avoir reçu le paiement. Que se passe-t-il ? Ne vous fâchez pas avec les pizzaïolos : tout cela est dû à CryptoShuffler.
Au contraire des cryptoransomware, ce cheval de Troie évite les effets voyants et fait de son mieux pour ne pas se faire repérer. Il réside tranquillement dans la mémoire de l’ordinateur et contrôle le presse-papier (l’espace de stockage temporaire pour les opérations de copier/coller.
Dès que CryptoShuffler détecte l’adresse d’un portefeuille de devises chiffrées dans le presse-papiers (ces adresses sont faciles à repérer par la longueur de lignes et les caractères spécifiques), il remplace l’adresse par une autre. Par conséquent, le transfert de monnaie chiffrée a réellement lieu ; c’est juste que le montant spécifié par l’acheteur ne revient pas à la pizzeria, mais aux intrus qui se cachent derrière CryptoShuffler.
Après avoir étudié le cheval de Troie, Kaspersky Lab a découvert que ce malware cible non seulement Bitcoin, mais aussi Ethereum, Zcash, Monero, Dash, Dogecoin (oui oui, ça existe) et d’autres devises chiffrées. Le remplacement de portefeuilles Bitcoin est l’activité la plus lucrative du cheval de Troie – au moment de la publication, les attaquants avaient mis la main sur plus de 23 BTC (140 000 dollars au taux de change actuel).
Les autres portefeuilles de devises chiffrées appartenant aux créateurs de CryptoShuffler contenaient des sommes allant de dizaines à des milliers de dollars.
Le cheval de Troie a récolté cet argent en un peu plus d’un an. Son pic d’activité fin 2016 a été suivi par un recul, mais CryptoShuffler s’est réveillé en juin 2017.
Ce cheval de Troie démontre clairement qu’un ordinateur ou un smartphone infecté ne doit pas forcément ralentir ou afficher des messages de rançon. Bien au contraire, de nombreux types de malwares restent discrets et tentent de fonctionner le plus discrètement possible ; plus ils restent dans l’ombre, plus leurs créateurs se font d’argent.
Notre conseil à tous les utilisateurs de devises chiffrées est de rester vigilant et de se protéger. Nos produits détectent CryptoShuffler en tant que Trojan-Banker.Win32.CryptoShuffler.gen, et bloquent bien entendu toutes ses actions.