Microsoft découvre une porte dérobée auto-propagatrice qui vole de la cryptomonnaie : comment fonctionne la menace

Les maliciels visant les portefeuilles cryptos ne sont pas une nouveauté, mais la variante documentée la semaine dernière par l'équipe Threat Intelligence de Microsoft mérite une mention à part pour ses innovations structurelles. Comme le relate Ars Technica, l'échantillon nommé en interne « SpyloaderX » combine le comportement classique d'un cheval de Troie avec une capacité d'auto-propagation.

Le vecteur d'infection, sous sa forme la plus courante, est la pièce jointe traditionnelle de hameçonnage. Des exécutables Windows enfouis dans des archives compressées échappent aux bases de signatures usuelles des scanners de courrier. Microsoft a montré que, depuis les premiers cas, les variantes utilisent le même module central.

La première caractéristique technique notable est le mimétisme de processus. Au démarrage, l'attaquant crée des points d'entrée portant le nom d'un processus connu, comme le contrôleur de services du système d'exploitation Windows. Cela aide à esquiver les déclencheurs comportementaux des solutions EDR.

Deuxième caractéristique : l'étendue du catalogue de chemins ciblés. Selon l'analyse de Microsoft, le maliciel est programmé pour balayer les dossiers utilisés par MetaMask, Trust Wallet, Exodus, Electrum et le classique Bitcoin Core pour stocker les fichiers de portefeuille. Le point le plus critique reste la recherche de phrases secrètes de sauvegarde stockées hors ligne.

Troisième caractéristique : l'auto-propagation. Une fois l'hôte infecté, le maliciel lance une boucle de balayage du réseau local ; des copies placées sur des partages SMB poursuivent la chaîne lorsque d'autres utilisateurs se connectent. Microsoft estime qu'il s'agit du premier échantillon qui combine aussi nettement un comportement de ver classique avec un trojan de vol de cryptos.

Plutôt qu'un modèle de diffusion en tapis, les cibles semblent choisies, ce qui donne à l'analyse un autre angle. Une grande partie des cas actuels provient de réseaux d'entreprises de taille moyenne en Europe de l'Est, en Asie du Sud-Est et au Brésil. Microsoft estime que cette concentration géographique est probablement liée au canal de distribution de la campagne.

Les chiffres précis des dommages financiers n'ont pas encore été divulgués. Mais des organisations interrogées par Ars Technica indiquent que les sorties totales depuis les portefeuilles suivis pourraient atteindre 12 millions de dollars sur les huit dernières semaines. L'argent est en général envoyé en petites coupures vers des services de mélange.

Un ensemble concret de mesures se distingue pour la défense en entreprise. Premièrement, s'assurer que les mises à jour de Microsoft Defender et de l'EDR contiennent la signature de menace. Deuxièmement, revoir les autorisations en lecture-écriture des partages SMB au niveau de l'entreprise. Troisièmement, ajouter à la liste de surveillance les noms de dossiers de portefeuilles ciblés pour les équipes financières.

Pour les particuliers, l'avertissement de base revient à l'hygiène standard : ne jamais stocker la phrase secrète ou les clés privées sur un ordinateur connecté, utiliser un stockage hors ligne (idéalement une plaque métallique) et un portefeuille matériel. Microsoft rappelle que les mécanismes de sauvegarde propres aux applications de portefeuille concernées proposent généralement des options hors ligne existantes.

Vue d'ensemble : les maliciels visant les portefeuilles cryptos ont connu une évolution structurelle nette ces trois dernières années. Les attaques fondées sur l'ingénierie sociale cèdent peu à peu la place à des menaces auto-propagatrices fondées sur le réseau. SpyloaderX en est l'un des exemples les plus concrets et une raison supplémentaire de revoir les cadres standards de protection des actifs numériques.