Un nouveau logiciel de vol d'informations baptisé « Omnistealer » transforme la blockchain en une plateforme permanente d'hébergement de logiciels malveillants, ce qui est une mauvaise nouvelle tant pour les entreprises que pour les utilisateurs lambda.
Il est assez courant que les logiciels malveillants stockent leur charge utile sur une plateforme publique, de préférence une plateforme qui confère une certaine crédibilité à l'emplacement de téléchargement, comme Google Docs, OneDrive, GitHub, npm, PyPI, etc.
Le problème pour les diffuseurs de logiciels malveillants, c'est que ces derniers peuvent être supprimés. Cela peut parfois prendre du temps et demander beaucoup d'efforts, mais c'est possible. Omnistealer contourne cette difficulté en stockant son code de préparation dans des transactions sur des blockchains publiques telles que TRON, Aptos et Binance Smart Chain.
Certaines transactions sur la blockchain permettent d'inclure de petits éléments de données arbitraires (notes, métadonnées, données d'entrée de contrats intelligents) ; or, au lieu d'y insérer des éléments inoffensifs, les pirates y introduisent :
- Texte chiffré
- Commandes codées
- Fragments de code malveillant
Et comme les chaînes de blocs sont des structures à écriture seule, ces fragments malveillants deviennent pratiquement impossibles à supprimer une fois qu'ils ont été intégrés à un bloc. On peut révoquer des domaines et retirer des dépôts GitHub, mais on ne peut pas revenir en arrière sur TRON ou BSC simplement pour supprimer quelques centaines d'octets de code de préparation de logiciels malveillants.
Cela transforme les registres publics en une infrastructure de commande et de contrôle robuste et résistante à la censure, que les défenseurs ne peuvent pas simplement mettre hors service.
Malgré son lien évident avec les cryptomonnaies, Omnistealer ne vise pas uniquement à dérober les investisseurs en cryptomonnaies. Une fois qu’Omnistealer s’est introduit dans un système, il s’attaque à :
- Plus de 10 gestionnaires de mots de passe, y compris des outils grand public synchronisés dans le cloud tels que LastPass.
- Les principaux navigateurs, tels que Chrome Firefox, récupèrent les identifiants enregistrés et les données de session.
- Comptes de stockage dans le cloud, y compris les identifiants Google Drive.
- Plus de 60 portefeuilles cryptographiques accessibles via un navigateur, dont des extensions populaires telles que MetaMask et Coinbase Wallet.
Il est conçu pour être un aspirateur de données tout-en-un qui, selon les enquêteurs, « volera littéralement tout ».
L'attaque commence généralement par une mission de programmation « simple » : un prestataire reçoit une offre LinkedIn Upwork, récupère un dépôt GitHub et exécute ce qui semble être du code de projet tout à fait normal. En coulisses, ce code se connecte à la blockchain, lit les données de transaction et s'en sert comme d'un pointeur pour récupérer et déchiffrer la charge utile finale.
Les chercheurs estiment qu'environ 300 000 identifiants ont déjà été compromis, allant des plateformes de l'industrie pour adultes et des services de livraison de repas aux sociétés de conformité financière, en passant par les fournisseurs du secteur de la défense et les entités gouvernementales américaines.
Ce que vous pouvez faire
Il est impossible de supprimer les logiciels malveillants de la blockchain, mais vous pouvez rendre beaucoup plus difficile pour ce genre de campagnes de vous nuire. Commencez par réduire ce qui peut être volé. Ensuite, protégez mieux vos informations.
- Considérez par défaut comme suspectes les offres d’emploi « de rêve » et les propositions de contrat non sollicitées, surtout si la conversation bascule rapidement vers des messageries hors plateforme (Telegram, Discord) ou si l’on vous demande d’exécuter du code provenant d’un dépôt privé.
- Protégez vos mots de passe à l'aide d'un gestionnaire de mots de passe fiable et activez l'authentification multifactorielle (en privilégiant une application ou une clé plutôt que les SMS) pour tous vos comptes importants ou sensibles.
- Utilisez une solution anti-malware à jour et fonctionnant en temps réel pour bloquer, détecter et supprimer les menaces telles qu'Omnistealer.
- N'utilisez pas votre profil utilisateur quotidien ni votre poste de travail principal comme banc d'essai pour des projets GitHub aléatoires ou des activités parallèles. Utilisez plutôt une machine virtuelle ou un système distinct.
- Surveillez vos comptes cryptos et bancaires pour détecter toute connexion ou tout retrait inexpliqué, et transférez vos fonds vers de nouveaux portefeuilles si vous soupçonnez une intrusion.
Soyons réalistes, une fenêtre de navigation privée a ses limites.
Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité.
