Carte CoolWallet 2025 Limited disponible dès maintenant !

Un nouveau malware malveillant a été découvert. Il peut vider votre portefeuille de cryptomonnaies en volant vos données privées via un bot Telegram et en modifiant secrètement les adresses des portefeuilles des destinataires. Le logiciel espion Masad Stealer se fait passer pour un logiciel populaire et triche pour des applications comme Fortnite et Binance. Il est actuellement largement diffusé et partagé sur Internet par des pirates qui l'ont acheté sur le Darknet.

Contenu

Introduction

Le logiciel espion Masad Stealer cible les utilisateurs d'ordinateurs et de téléphones portables qui accèdent à la cryptographie ou stockent des informations sensibles sur leurs appareils.

Dans cet article, nous verrons ce qu'est le Masad Stealer, qui se cache derrière, comment il vole des données et des crypto-monnaies, quelles données et quels programmes sont affectés et comment potentiellement le supprimer.

Masad représente le plus grand risque pour les propriétaires de crypto-monnaies qui utilisent leurs ordinateurs ou leurs téléphones pour stocker des données privées ou pour envoyer des actifs numériques depuis leurs portefeuilles de bureau ou leurs échanges numériques.

Cette dernière arnaque de phishing par cheval de Troie n'est qu'une autre raison de conserver vos actifs numériques en toute sécurité hors ligne dans un portefeuille matériel comme CoolWallet S, qui nécessite une vérification de confirmation physique avant qu'un actif numérique ne soit autorisé.

Qu'est-ce que le malware Masad « Clipper and Stealer » ?

Le malware Masad « Clipper and Stealer » est un cheval de Troie espion qui utilise un bot de commande et de contrôle (C2) Telegram pour 1) collecter et extraire (retirer) des données sensibles vers des comptes Telegram anonymes appartenant à des pirates et 2) « clipper » et remplacer automatiquement toute adresse cryptographique copiée pour envoyer des fonds. Il est probablement basé sur l'ancien malware Qulab Stealer .

Le logiciel espion se fait passer pour des outils populaires et des logiciels tiers intégrés que des victimes sans méfiance téléchargent et installent. Pire encore, il est vendu sur le Darknet et déjà déployé en ligne par de nombreux groupes et campagnes malveillants. Cette nouvelle menace fait suite à de nouveaux exploits découverts par le groupe d'analyse des menaces de Google sur des appareils iOS compromis plus tôt cette année.

Comment Masad infecte-t-il les ordinateurs et les téléphones ?

Le logiciel malveillant cible les utilisateurs Windows et Android, mais il est probable que les clients iOS soient également touchés prochainement. Les développeurs de Masad ont eu l'astuce de déguiser le logiciel espion malveillant en applications populaires, susceptibles d'être utilisées par les utilisateurs, comme des astuces et des codes de triche pour des jeux comme Fortnite et Dota.

Des chercheurs de Juniper Threat Labs ont découvert que le logiciel espion Masad infiltre les appareils des victimes en se faisant passer pour un logiciel authentique, un logiciel intégré ou des codes de crack et de triche de jeux. Ces variantes masquées sont largement promues sur Internet et diffusées sur les forums et les sites de partage de fichiers.

Quelles applications Masad prétend-il être ?

Tout comme le rançongiciel Syrk récemment découvert (voir notre guide) , Masad peut se faire passer pour un aimbot Fortnite. Cependant, il existe également une liste croissante de faux déguisements, notamment :

  • Mises à jour des téléphones mobiles Samsung
  • Un bot Binance Trade
  • Programme de suppression de fichiers CCleaner
  • Cracks et astuces de jeux piratés (PUBG/DoTA/Fortnite/GTA)
  • Pour une liste complète, cliquez ici
Source : Juniper.net

Tous les fichiers contrefaits sont des exécutables (.exe) et certains ont ensuite la capacité de télécharger et d'installer des logiciels malveillants de cryptojacking supplémentaires lors de leur propre installation.

Qui se cache derrière le logiciel espion Masad Stealer ?

Le malware est vendu sans vergogne sur le Darknet comme un logiciel gratuit dont le prix augmente, jusqu'à 85 $, à mesure que des fonctionnalités supplémentaires sont ajoutées. Incroyablement, les criminels derrière Masad ont même créé un site web et un groupe Telegram privé comptant environ 300 membres et offrant probablement un support technique.

Cela signifie que Masad n'est plus l'œuvre de quelques pirates informatiques astucieux. À chaque exemplaire vendu, son réseau d'acteurs malveillants s'agrandit. À l'heure actuelle, plus de 300 identifiants de bots Telegram ont été découverts par des chercheurs, provenant de différentes sources de distribution de vecteurs d'attaque, et ce n'est peut-être qu'un début. Juniper estime que plus de 18 acteurs malveillants ou campagnes actives sont actuellement impliqués dans la diffusion du malware.

Que se passe-t-il après que Masad ait infecté un ordinateur ou un téléphone ?

Le programme malveillant Masad fait ce que son nom suggère : il vole et pirate. Voici ce qu'il fait et comment :

Processus de vol

Étape 1 : Rechercher des données privées

Une fois qu'il infecte un appareil, tel qu'un ordinateur ou un téléphone, le malware Masad Stealer recherche toutes les données importantes dans l'historique de navigation de l'appareil hôte et ailleurs. Cela inclut :

  • Portefeuilles de crypto-monnaie
  • Informations sur le PC et le système
  • Données de carte de crédit et de mot de passe (navigateur)
  • Logiciels et processus installés
  • Fichiers de bureau ou capture d'écran
  • Cookies du navigateur
  • Fichiers d'authentification Steam
  • Remplissage automatique des champs du navigateur
  • Données Discord et Telegram
  • Fichiers FileZilla

(source : Juniper Research)

Étape 2 : compressez les données et exfiltrez-les via le bot Telegram C2

Ensuite, Masad Stealer compresse toutes les informations potentiellement dangereuses qu'il a extraites dans un fichier 7Zip (le programme est intégré dans le binaire du malware), puis les exfiltre (les retire) en utilisant un bot de commande et de contrôle pour télécharger le fichier zippé) sur le compte Telegram contrôlé par le pirate.

Telegram est l'outil idéal pour les mauvais acteurs car il est extrêmement populaire (plus de 200 millions d'utilisateurs) et est bien connu pour son excellent cryptage qui permet aux pirates de couvrir leurs traces.

Le malware créera également une tâche planifiée sur tous les appareils Windows qu'il parvient à compromettre, ce qui lui permettra de redémarrer toutes les minutes si les victimes découvrent et tuent son processus.

Tout comme Syrk, le malware crée également une application de tâches planifiées qui redémarre toutes les minutes, lui permettant ainsi d'éviter la détection via le Gestionnaire des tâches de Windows.

Processus de découpage

Le logiciel malveillant ne se contente pas de voler vos données pour récupérer votre portefeuille ou vos mots de passe bancaires. Il injecte également du code malveillant dans votre navigateur et se cache sournoisement dans l'ombre, jusqu'à ce que vous tentiez à nouveau d'envoyer des fonds depuis votre portefeuille crypto.

Le malware dispose d'une fonction spécifique qui vérifie tout texte copié dans le presse-papiers du navigateur par rapport à une liste d'expressions régulières et de portefeuilles cryptographiques pris en charge (par exemple, toute donnée alphanumérique correspondant à un modèle correspondant à des adresses de crypto-monnaie spécifiques).

Paramètres de découpage d'adresse cryptographique (Juniper)

Il remplace ensuite les données correctes du presse-papiers par une adresse de portefeuille appartenant à un pirate informatique, incitant les expéditeurs à transférer involontairement des fonds au mauvais acteur au lieu du destinataire prévu.

Selon les chercheurs, l'un des portefeuilles malveillants avait déjà accumulé 9 000 dollars à la mi-septembre.

Une adresse Masad contenant plus de 9 000 USD
(source : Juniper Network)

Quelles crypto-monnaies Masad cible-t-il ?

Vous trouverez ci-dessous une liste d'informations sur les pièces et les portefeuilles que Masad tente de découper :

Monero Bitcoin Cash Litecoin Néo
ADA ZCASH DogeCoin Stratis
Bitcoin Flots Reddcoin Qtum
Bytecoin Bitcoin Pièce noire VIA
Lien commercial Steam Bitcoin Gold Emercoin Lisk
Ethereum Tiret Ripple (XRP) Payeer
NÉO Stratis Qtum Web Money
VIA Liste Yandex Money QIWI Pay

Comment supprimer Masad Stealer

Contrairement à l'application ransomware Syrk qui est facile à neutraliser en raison de son itération précédente connue et fixe HiddenCry, le logiciel espion Masad est plus difficile à éliminer, et la prévention pourrait être plus facile que le remède.

Juniper estime que le logiciel espion Masad Trojan est une menace « active et continue », avec des robots C2 qui prolifèrent encore et transmettent des données et l'application toujours en vente sur le Darknet.

Les experts en sécurité recommandent un pare-feu de nouvelle génération (NGFW) capable d'identifier et de bloquer le protocole Telegram, ainsi qu'une protection avancée contre les menaces capable de détecter et de neutraliser Masad d'autres manières.

Juniper propose également sa propre protection : un pare-feu qui empêche Masad de se connecter au bot C2 et bloque préventivement le téléchargement de tout fichier exécutable. Pour en savoir plus sur leur solution, consultez leur site web .

Conclusion

Cette nouvelle application malveillante illustre une fois de plus la multiplication des menaces de sécurité sophistiquées et mortelles que les pirates utilisent astucieusement pour voler des cryptomonnaies à des utilisateurs peu méfiants. Les acteurs malveillants se regroupent sur le Darknet et recyclent souvent des logiciels malveillants déjà publiés, les mettent à jour, puis les réinjectent dans la nature, utilisant souvent les mêmes techniques.

Comme nous l'avons mentionné dans des articles précédents, conserver ses cryptomonnaies sur un appareil connecté à Internet, comme un ordinateur ou un téléphone portable, comporte toujours un risque. Pour protéger vos cryptomonnaies, il est essentiel d'investir dans un portefeuille de stockage à froid dédié, comme CoolWallet.

Avis de non-responsabilité : CoolBitX n'approuve pas et n'est pas responsable du contenu, de l'exactitude, de la qualité ou de tout autre élément de cette page. Il est recommandé aux lecteurs de se renseigner avant toute action.

CoolBitX n'est pas responsable, directement ou indirectement, de tout dommage ou perte causé par ou en relation avec l'utilisation ou la confiance accordée à tout contenu, bien ou service mentionné dans ce guide.

Dernières histoires

Tout afficher

Insights
The Strategic Bitcoin Reserve: Trump's Bitcoin Plan
  • par TeamProduct

The Strategic Bitcoin Reserve: Trump's Bitcoin Plan

Explore how Trump's 2025 Strategic Bitcoin Reserve transforms U.S. financial policy by stockpiling seized cryptocurrency. Learn what this government Bitcoin reserve means for markets, regulation, and your crypto investments.

Plus

AnnouncementSecurityTrade Safely
CoolWallet’s Enhanced Security: Stop Hacks Before They Happen
  • par TeamProduct

Sécurité renforcée de CoolWallet : bloquez les piratages avant qu'ils ne se produisent

Découvrez comment les nouvelles fonctionnalités d'aperçu des transactions et d'analyse intelligente de CoolWallet vous aident à prévenir les piratages. Sécurité renforcée pour vos cryptoactifs.

Plus

AnnouncementInsights
Core Blockchain & Core DAO: Unlocking Bitcoin's Power for the Next-Gen Blockchain
  • par TeamProduct

Core Blockchain et Core DAO : exploiter pleinement la puissance du Bitcoin pour la blockchain de nouvelle génération

CoolWallet Pro prend désormais en charge la blockchain Core ! Nous offrons un stockage sécurisé pour $CORE et un accès à son écosystème. Découvrez-en plus sur la blockchain Core dès maintenant !

Plus

© 2025 CoolWallet - Tous droits réservés. Commerce électronique propulsé par Shopify