Une arnaque sophistiquée a mis en alerte la communauté des utilisateurs de cryptomonnaies et de technologies, après qu'un malware caché dans Microsoft Office. Cette menace, récemment identifiée par des experts en cybersécurité, se serait déguisée en une boîte à outils légitime sur des plateformes de téléchargement populaires, cherchant à voler des fonds numériques à l'insu des victimes.
L'arnaque implique l'utilisation de faux packages de modules complémentaires Microsoft Office publiés sur le portail SourceForge., une plateforme d'hébergement de logiciels bien connue. Ces fichiers, bien que présentés comme inoffensifs et utiles, contiennent un logiciel malveillant baptisé ClipBanker, spécialisé dans l'interception des adresses de cryptomonnaie copiées par les utilisateurs pour rediriger l'argent vers les portefeuilles des attaquants.
ClipBanker : un logiciel malveillant caché dans Microsoft Office
ClipBanker n'agit pas de manière visible pour l'utilisateur, mais attend que l'utilisateur copie une adresse de portefeuille., pratique courante lors de l'exécution transferts de cryptoactifs. Au lieu de conserver cette adresse, le logiciel malveillant la remplace par une autre sous le contrôle de l'attaquant, détournant ainsi les fonds sans éveiller de soupçons immédiats.
La société de sécurité Kaspersky a été l'une des premières à enquêter et à alerter sur cette attaque., soulignant que le nom du package trompeur utilisé dans certains cas est « officepackage ». Bien qu'il contienne des composants qui semblent authentiques, sa véritable intention est de compromettre les systèmes des utilisateurs.
Ingénierie sociale et techniques d'évasion avancées
L’une des tactiques utilisées par les criminels pour donner de la crédibilité au fichier malveillant est la création d’une page de téléchargement très similaire aux pages officielles.. Il affiche les noms des outils populaires et des boutons d’installation qui imitent les processus légitimes, augmentant ainsi la probabilité que les utilisateurs tombent dans le piège.
En plus de remplacer les adresses de portefeuille, le logiciel malveillant collecte des informations à partir du système infecté., y compris les adresses IP, l'emplacement géographique et le nom d'utilisateur. Ces informations sont transmises aux opérateurs du virus via la plateforme de messagerie Telegram, permettant aux attaquants de conserver le contrôle à distance de l'appareil ou même d'échanger l'accès à des tiers.
Des détails techniques suscitent des soupçons sur ce malware caché dans Microsoft Office
L’un des signes les plus clairs que quelque chose ne va pas est la taille des fichiers téléchargés.. Selon Kaspersky, plusieurs des applications malveillantes sont inhabituellement petites, ce qui est inhabituel pour les logiciels Microsoft Office, même lorsqu'elles sont compressées. D’autres paquets, en revanche, sont gonflés avec des données dénuées de sens pour donner l’apparence d’une structure authentique.
Le logiciel malveillant a été conçu avec la capacité d'éviter la détection. Vous pouvez analyser l'environnement de l'appareil pour voir s'il est déjà présent ou si les outils antivirus peuvent l'identifier. S'il détecte l'un de ces éléments, il a la capacité de s'autodétruire, ce qui rend difficile son analyse ultérieure par les experts.
Utilisateurs cibles ? Principalement russophone
Une grande partie des infections détectées jusqu’à présent se sont produites en Russie.. Le rapport Kaspersky estime que jusqu’à 90 % des personnes trompées par ce stratagème sont originaires de ce pays. On estime que plus de 4.600 XNUMX utilisateurs ont été victimes de cette arnaque entre janvier et mars de cette année.
La langue de l’interface utilisée par les attaquants est également en russe, ce qui suggère que ce public était la cible principale.. Toutefois, comme le logiciel peut être distribué dans le monde entier via Internet, il n’est pas exclu que d’autres pays soient touchés dans les mois à venir.
Recommandations pour éviter de tomber dans le piège de ce malware caché dans Microsoft Office
Le téléchargement de logiciels uniquement à partir de sources officielles est la mesure la plus efficace pour réduire le risque d’infection.. Kaspersky met en garde contre l'utilisation de programmes piratés ou de sites alternatifs, qui ont souvent moins de contrôles de qualité et d'exigences de vérification.
Les criminels continuent de mettre à jour leurs techniques pour faire passer leurs programmes pour authentiques.. L’utilisation de plateformes populaires et la conception d’interfaces attrayantes rendent les utilisateurs moins expérimentés particulièrement vulnérables.
Une menace croissante au-delà du Bureau
Ce type de malware n’est pas un cas isolé.. D’autres entreprises du secteur, comme Threat Fabric, ont également signalé l’émergence de nouvelles variantes qui affectent spécifiquement les utilisateurs d’Android. L'une des méthodes détectées consiste à afficher de faux écrans demandant la phrase de départ du portefeuille, permettant à l'attaquant de prendre le contrôle total des fonds numériques de la victime.
La diversification continue des attaques démontre que les criminels ne recherchent pas seulement le profit immédiat. Ils sont également prêts à vendre le contrôle de l’équipement à des tiers ou à réutiliser l’infrastructure compromise pour de nouvelles campagnes criminelles.
La stratégie ingénieuse de cacher des logiciels malveillants dans ce qui semble être des outils Microsoft Office légitimes met en évidence à quel point les utilisateurs peuvent être vulnérables lorsqu’ils s’appuient sur des sources non officielles. Ces attaques, ciblant principalement les cryptomonnaies, profitent du manque de connaissances techniques des internautes et de leur recherche de raccourcis.
Il est toujours conseillé de vérifier la source du logiciel avant de l'installer et de ne pas faire confiance aux sites ou liens suspects. Partagez ces informations afin que davantage d’utilisateurs soient conscients des nouvelles fonctionnalités et des dangers de ce malware caché dans Microsoft Office.