Par gnongnon

Un nouveau malware attaque les utilisateurs de cryptomonnaies, volant les identifiants de portefeuilles et les données financières en contournant le cryptage de Chrome et en surveillant l’activité du presse-papiers pour intercepter et rediriger les transactions.

Un nouveau malware cible les utilisateurs de cryptos, volant les identifiants de portefeuilles et les données financières

Un cheval de Troie d’accès à distance (RAT) récemment découvert, connu sous le nom de StilachiRAT, cible spécifiquement les utilisateurs de cryptomonnaies en volant les identifiants de portefeuilles numériques et exfiltrant des données sensibles. Les chercheurs de Microsoft Incident Response ont détaillé les capacités du malware dans un rapport publié le 17 mars 2025, soulignant son accent sur le compromis des utilisateurs de Google Chrome qui stockent des extensions de portefeuilles de cryptomonnaies et des identifiants de connexion enregistrés.

Selon Microsoft :

StilachiRAT cible une liste spécifique d’extensions de portefeuilles de cryptomonnaies pour le navigateur Google Chrome.

Le malware recherche 20 extensions de portefeuilles différentes, y compris Bitget Wallet (anciennement Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal, et Plug, permettant aux attaquants d’extraire des informations sur les actifs numériques.

Les identifiants de connexion enregistrés de Google Chrome aussi victimes de hack

Au-delà du ciblage des portefeuilles de cryptomonnaies, StilachiRAT vole également les identifiants de connexion enregistrés de Google Chrome en contournant ses mécanismes de cryptage. Le rapport explique : « StilachiRAT extrait l’encryption_key de Google Chrome à partir du fichier d’état local dans le répertoire d’un utilisateur. Cependant, puisque la clé est chiffrée lors de la première installation de Chrome, il utilise des APIs Windows qui reposent sur le contexte de l’utilisateur actuel pour déchiffrer la clé maîtresse. Cela permet d’accéder aux identifiants enregistrés dans le coffre-fort des mots de passe. »

Cela permet aux attaquants de récupérer les noms d’utilisateur et les mots de passe associés aux comptes financiers, augmentant encore le risque pour les actifs numériques des victimes. De plus, StilachiRAT établit une connexion de commande et de contrôle (C2), permettant aux opérateurs à distance d’exécuter des commandes, de manipuler les processus système et de rester persistants même après une détection initiale.

Le malware surveille également de manière continue les données du presse-papiers pour extraire des clés de cryptomonnaies et des informations financières sensibles. Le rapport de Microsoft note :

La surveillance du presse-papiers est continue, avec des recherches ciblées d’informations sensibles telles que des mots de passe, des clés de cryptomonnaies et potentiellement des identifiants personnels.

Que faire pour éviter le chaos?

En analysant des motifs spécifiques liés aux adresses de cryptomonnaies, StilachiRAT peut intercepter et remplacer les adresses de portefeuilles copiées, redirigeant les transactions vers une destination contrôlée par un attaquant. Pour atténuer le risque, Microsoft conseille aux utilisateurs de mettre en œuvre des mesures de sécurité telles que l’activation des protections Microsoft Defender, l’utilisation de navigateurs sécurisés, et d’éviter les téléchargements non vérifiés. Alors que le paysage des menaces évolue, les experts en cybersécurité exhortent les détenteurs de cryptos à rester vigilants face aux nouveaux malwares conçus pour exploiter les actifs numériques.

DISCLAIMER

Les propos et opinions exprimés dans cet article n’engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d’investissement.