Une nouvelle vague de malwares ciblant les cryptomonnaies
Une nouvelle vague de malwares ciblant les cryptomonnaies déferle sur le monde des actifs numériques. Les acteurs malveillants sont plus avisés et polyvalents que jamais. À la tête de cette tendance se trouvent les Librarian Ghouls, un groupe menaçant persistant avancé (APT) associé à la Russie, et Crocodilus, un voleur multiplateforme dont les racines remontent à des chevaux de Troie bancaires sur Android.
« La dernière campagne des Librarian Ghouls utilise des logiciels légitimes comme AnyDesk pour dissimuler des mineurs de cryptomonnaie et des enregistreurs de touches. Une fois infiltrés, ils restent dans l’ombre — jusqu’à minuit. » — Kaspersky Threat Intelligence (9 juin 2025)
Les méthodes des Librarian Ghouls
Ce groupe APT camoufle ses attaques sous la forme de documents ordinaires dans des courriels de phishing. Une fois ouverts, leur malware :
- Installe 4t Tray Minimizer pour masquer les processus malveillants.
- Déploie AnyDesk pour l’accès à distance et XMRig pour miner du Monero.
- Vole des informations d’identification de portefeuilles cryptographiques et des clés de registre.
Nouveauté en 2025 : Activation nocturne — le malware fonctionne uniquement la nuit pour éviter la détection. Leur attaque combine expertise technique et coercition psychologique, frappant à chaque étape du cycle de la cryptomonnaie.
Crocodilus et ses évolutions
À l’origine un cheval de Troie bancaire turc, Crocodilus cible désormais les utilisateurs mondiaux de cryptomonnaies grâce à :
- De fausses applications se faisant passer pour Coinbase, MetaMask ou des outils de minage.
- Des collecteurs automatiques de phrases mnémotechniques qui scannent les appareils à la recherche de données de portefeuilles.
- L’ingénierie sociale via de faux contacts de Soutien Bancaire.
« Le nouveau parseur de Crocodilus extrait les phrases mnémotechniques avec une précision chirurgicale. Un seul clic sur un lien frauduleux, et votre portefeuille est perdu. » — Équipe MTI ThreatFabric (3 juin 2025)
Crocodilus a rapidement évolué d’une menace régionale à une menace mondiale. Ne se limitant plus à Android, il cible maintenant des extensions de navigateur malveillantes, des applications de bureau clonées et même des bots sur Telegram.
Ciblage et stratégies malveillantes
La caractéristique la plus pernicieuse de ce malware est sa capacité à voler des phrases mnémotechniques à partir des données du presse-papiers, des captures d’écran et des informations de remplissage automatique. Les acteurs de cette menace ont commencé à proposer l’accès aux portefeuilles compromis à la vente sur des forums du darknet, établissant un marché noir prospère pour les actifs cryptographiques volés.
Les hackers exploitent également X (anciennement Twitter) avec :
- Des comptes vérifiés détournés promouvant des airdrops frauduleux.
- Des QR codes menant à des contrats intelligents drainant des portefeuilles.
- Des chats de soutien deepfake alimentés par l’IA qui imitent de vrais agents.
Exemple réel : En mai 2025, un livestream deepfake « Elon Musk » incitait les téléspectateurs à scanner un QR code pour un giveaway « TeslaCoin ». Les victimes ont perdu plus de 200 000 $ en 30 minutes.
Prévention et bonnes pratiques
Pour se protéger contre de telles menaces, les utilisateurs doivent adopter une approche de santé opérationnelle (OPSEC) à plusieurs niveaux. Les experts recommandent d’utiliser des portefeuilles matériels pour les investissements de grande valeur, d’activer l’authentification à deux facteurs et de ne jamais partager leurs phrases mnémotechniques. D’autres mesures incluent :
- Effectuer des vérifications régulières des autorisations de portefeuille.
- Tenir les logiciels à jour.
- Séparer les opérations cryptographiques sur des appareils dédiés.
À mesure que les attaquants deviennent de plus en plus innovants, la meilleure défense reste d’être bien informé et suffisamment sceptique.
