Atlas Clipper

Atlas est une variante spécifique de malware connue sous le nom de clipper. Les logiciels malveillants de type Clipper font référence à une classe de programmes menaçants créés dans le but d'intercepter et de manipuler le contenu copié à partir du presse-papiers. Dans le cas d'Atlas, sa fonction principale est de détecter les cas où un utilisateur copie une adresse de portefeuille de crypto-monnaie, puis la remplace furtivement par une adresse différente. Ce comportement insidieux conduit à une redirection des transactions sortantes vers des portefeuilles non intentionnels, ce qui profite finalement aux attaquants.

Les menaces de Clipper comme Atlas peuvent entraîner des pertes financières importantes

L'une des principales fonctionnalités malveillantes d'Atlas Clipper est la détection d'adresses de portefeuille cryptographiques copiées dans le presse-papiers de l'appareil compromis. Lors de cette identification, Atlas remplace rapidement l'adresse copiée par une adresse contrôlée par les cybercriminels à l'origine du logiciel malveillant. Par conséquent, lorsque l'utilisateur tente de coller l'adresse lors d'une transaction, l'adresse manipulée appartenant aux attaquants est collée à la place.

Cette manipulation du contenu du presse-papiers sert de mécanisme pour rediriger les transactions de crypto-monnaie sortantes vers les portefeuilles contrôlés par les cybercriminels. Atlas possède la capacité d'exploiter cette technique sur plusieurs portefeuilles crypto, permettant aux attaquants de cibler un large éventail de crypto-monnaies et de victimes potentielles. Le logiciel malveillant est conçu pour fonctionner avec au moins sept portefeuilles cryptographiques connus, mais son adaptabilité permet aux attaquants d'étendre encore plus leur portée.

Un aspect important de ces attaques est la nature pratiquement irréversible des transactions de crypto-monnaie. Une fois que les fonds sont redirigés vers les portefeuilles des attaquants, il devient extrêmement difficile pour les victimes de récupérer leurs fonds perdus. La nature décentralisée des crypto-monnaies rend difficile le suivi et la récupération des actifs transférés, ce qui aggrave encore l'impact financier sur les victimes.

En plus de ses capacités de manipulation du presse-papiers, Atlas inclut une fonction pour mettre fin à des processus spécifiques. Cette fonctionnalité sert de mesure anti-détection, car elle peut être utilisée pour mettre fin aux processus associés aux logiciels de sécurité. Par défaut, Atlas cible cinq processus spécifiques à terminer. Cependant, les cybercriminels pourraient modifier la menace pour identifier et tuer jusqu'à vingt processus différents, améliorant ainsi sa capacité à échapper à la détection et à persister sur les systèmes infectés.

Les capacités combinées d'Atlas constituent une menace importante pour les individus et les organisations impliqués dans le secteur de la crypto-monnaie. Il est crucial que les utilisateurs restent vigilants, fassent preuve de prudence lorsqu'ils copient et collent des adresses de portefeuille cryptographique et utilisent des mesures de cybersécurité robustes pour se protéger contre ces attaques de logiciels malveillants sophistiqués. La mise à jour régulière des logiciels de sécurité, la mise en œuvre de l'authentification multifacteur et la lecture des rapports sur les dernières menaces peuvent aider à atténuer les risques associés à Atlas et aux variantes de logiciels malveillants similaires.

L'Atlas Clipper pourrait se propager via différents vecteurs d'infection

Atlas a attiré l'attention des cercles cybercriminels car il est activement promu sur Internet. Les développeurs de ce malware clipper le proposent à la vente, généralement dans une fourchette de prix de 50 à 100 USD, avec un modèle de paiement unique. Par la suite, les méthodes de distribution spécifiques employées par les cybercriminels utilisant Atlas peuvent varier en fonction des tactiques qu'ils choisissent d'employer.

La prolifération des logiciels malveillants implique souvent l'utilisation de techniques de phishing et d'ingénierie sociale. Les programmes menaçants sont souvent déguisés ou regroupés avec des logiciels ou des fichiers multimédia apparemment inoffensifs. Ceux-ci peuvent prendre diverses formes, telles que des fichiers exécutables avec des extensions telles que .exe ou .run, des archives telles que ZIP ou RAR, des documents tels que des fichiers PDF ou Microsoft Office, JavaScript, etc. Une fois qu'une victime exécute, exécute ou ouvre sans le savoir un fichier dangereux, la chaîne d'infection est déclenchée.

Les principales voies par lesquelles les logiciels malveillants, y compris Atlas, pourraient être distribués comprennent les téléchargements furtifs et trompeurs connus sous le nom de téléchargements intempestifs, les escroqueries en ligne, les pièces jointes malveillantes et les liens intégrés dans les e-mails ou messages de spam, la publicité malveillante (publicités dangereuses), les canaux de téléchargement douteux tels que des logiciels gratuits et des sites Web d'hébergement de fichiers gratuits, des réseaux de partage peer-to-peer (P2P), des outils d'activation de logiciels illégaux souvent appelés outils de "craquage" et de fausses notifications de mise à jour de logiciels.

Les canaux de téléchargement douteux, y compris les sites Web de logiciels gratuits et d'hébergement de fichiers gratuits, ainsi que les réseaux de partage P2P, hébergent souvent des fichiers infectés par des logiciels malveillants que les utilisateurs téléchargent sans le savoir avec le contenu souhaité. Les outils d'activation de logiciels illégaux, communément appelés outils de « craquage », sont souvent associés à des logiciels malveillants et distribués par des canaux non officiels. Enfin, les cybercriminels exploitent la confiance que les utilisateurs accordent aux notifications de mise à jour logicielle en imitant les alertes de mise à jour légitimes pour inciter les utilisateurs à télécharger et à exécuter des logiciels malveillants.