Ctrl+V – et l’argent numérique s’envole : le logiciel malveillant Cliptomaner utilise le presse-papiers pour inciter ses victimes à effectuer des transferts « volontaires » vers des criminels.
Le code malveillant qui déterre ou tente de voler des cryptomonnaies sur les ordinateurs d’autres personnes existe depuis longtemps. Cliptomaner », qui circule depuis septembre de l’année dernière, n’a pas besoin de le faire : le logiciel malveillant préfère s’appuyer sur des transferts « volontaires » de bitcoins vers ses créateurs. Pour ce faire, il surveille et manipule le presse-papiers des systèmes Windows infectés.
Copier, coller et perdre de l’argent
Selon un récent tweet d’un chercheur en sécurité, Cliptomaner s’enregistre lorsque sa victime copie une adresse Bitcoin (quelque chose via Ctrl+C ou avec un clic droit et « Copier ») dans le presse-papiers afin de la réutiliser au cours d’une transaction par copier-coller. Il remplace ensuite l’adresse dans le presse-papiers par une adresse Bitcoin des développeurs du code malveillant. Certaines variantes viseraient plutôt la monnaie Monero.
Ce qui est particulièrement perfide dans cette situation, c’est que certains utilisateurs ne prennent probablement pas la peine de jeter un second coup d’œil à la chaîne de caractères alphanumériques après le collage. Et que le transfert est effectué activement par l’utilisateur (qui ne se doute de rien).
Recherche involontaire de bogues dans le code malveillant
En réponse au tweet du chercheur, un autre utilisateur de Twitter a signalé un curieux rapport de bogue pour l’interface utilisateur graphique « Dear ImGui », créé en avril de cette année. Un utilisateur y décrivait un prétendu problème de copier-coller en rapport avec le programme.
Les développeurs se sont interrogés sur la cause du problème pendant un certain temps. La solution était finalement un bug plutôt stupide de Cliptomaner qui avait pris racine sur le système en question : le code malveillant avait identifié par erreur la chaîne de test « 11111111111111111111111111111n » dans le presse-papiers avec ses 34 caractères comme une adresse Bitcoin et l’avait remplacée en conséquence par une adresse. « Donc, en réalité, je viens de trouver un bug dans le virus muet », a commenté l’un des développeurs.
