Un malware Windows baptisé Cryptbot cherche actuellement à voler les bitcoins et autres cryptomonnaies stockées par les internautes. Pour propager le logiciel malveillant, les pirates cachent le virus dans un utilitaire pirate permettant d'activer des produits Microsoft sans clé de licence. 

Les chercheurs en sécurité informatique de Red Canary ont découvert la trace d'un nouveau malware visant les ordinateurs Windows. Baptisé Cryptbot, ce logiciel malveillant est conçu pour s'emparer des bitcoins détenus par les utilisateurs sur leurs portefeuilles numériques. Les cryptomonnaies sont en effet stockées sur des portefeuilles blockchain accessibles depuis n'importe quel ordinateur, à condition d'avoir le code de récupération.

Le malware vise une foule de portefeuilles de cryptomonnaies populaires, comme Ledger Live, Coinomi, Jaxx Liberty, Electron Cash, Electrum, Exodus ou encore MultiBitHD. Notez que Cryptbot vise aussi des devises très appréciées des internautes souhaitant passer inaperçus sur la toile, comme Monero, la cryptomonnaie anonyme. Pour arriver à ses fins, il aspire aussi les données d'applications comme Avast Secure, Chrome, Opera, Brave, Firefox ou Vivaldi.

Le malware Cryptbot se cache dans un logiciel qui permet de pirater Windows

D'après l'enquête de Red Canary, Cryptbot se cache dans plusieurs versions factices de KMSPico, un logiciel utilitaire permettant d'activer gratuitement les produits de Microsoft tels que Windows et Office sans posséder de clé de licence. Cet installateur, très prisé par les pirates, permet de contourner les systèmes de sécurité de Microsoft. “KMSPico et d'autres activateurs KMS non officiels contournent les licences Microsoft et sont une forme de logiciel piraté”, explique Red Canary.

En général, les ordinateurs bloquent automatiquement KMSPico. De fait, le logiciel est fourni avec des instructions visant à désactiver les logiciels antivirus et anti-malware. Ces instructions laissent le champ libre à Cryptbot pour pénétrer dans le système et obtenir l'accès aux cryptomonnaies des utilisateurs. Une fois qu'il est entré dans l'ordinateur, le malware fouille tout le système à la recherche d'informations d'identification et d'autres informations sensibles (mots de passe…).

Sur le même thème : un pirate vole 120 millions de dollars en Bitcoin et Ether grâce à une faille

“KMSPico est un logiciel de contournement de licence qui peut être usurpé de diverses manières, et dans ce cas, une version malveillante a conduit à une infection Cryptbot conçue pour voler des informations d'identification. Épargnez-vous ces ennuis et optez pour des méthodes d'activation légitimes”, conseille Red Canary dans sa conclusion. Bref, il vaut mieux passer par une licence officielle plutôt que de tomber entre les mains d'un malware comme Cryptbot.