Depuis novembre 2021, les cybercriminels exploitent un utilitaire Windows pour distribuer des malwares de minage de crypto-monnaie, comme le détaille un rapport de Talos Intelligence de Cisco. Les malfaiteurs manipulent le programme Windows Advanced Installer, un programme qui aide les développeurs de logiciels à regrouper d’autres installateurs de logiciels, comme Adobe Illustrator, pour exécuter des scripts malveillants sur des systèmes compromis.
Le logiciel ciblé et les victimes
Les installateurs de logiciels affectés par cette attaque sont principalement utilisés pour la modélisation 3D et la conception graphique. La plupart des installateurs de logiciels utilisés dans cette campagne de malwares sont rédigés en français, ce qui indique que les victimes sont susceptibles d’appartenir à différents secteurs d’activité tels que l’architecture, l’ingénierie, la construction, la fabrication et le divertissement dans les pays francophones. L’analyse suggère que les utilisateurs en France et en Suisse sont les plus touchés, avec quelques cas dans d’autres pays, notamment les États-Unis, le Canada, l’Algérie, la Suède, l’Allemagne, la Tunisie, Madagascar, Singapour et le Vietnam.
Le modus operandi
L’opération de minage de crypto-monnaie frauduleuse identifiée par Talos déploie des scripts PowerShell et des scripts batch Windows nuisibles pour exécuter des commandes et établir une porte dérobée sur la machine de la victime. PowerShell, en particulier, est tristement célèbre pour fonctionner dans la mémoire du système plutôt que sur le disque dur, ce qui rend plus difficile la détection d’une attaque.
Après l’installation de la porte dérobée, l’attaquant lance des menaces supplémentaires telles que le programme de minage de crypto-monnaie Ethereum PhoenixMiner et lolMiner, une menace de minage multi-monnaie. Ces scripts malveillants sont exécutés à l’aide de la fonctionnalité d’action personnalisée de l’Advanced Installer, qui permet aux utilisateurs de prédéfinir des tâches d’installation personnalisées. Les charges utiles finales sont PhoenixMiner et lolMiner, qui sont des mineurs disponibles publiquement et qui exploitent les capacités des GPU des ordinateurs.
Le phénomène du cryptojacking
L’utilisation de malwares de minage de crypto-monnaie est appelée cryptojacking. Elle consiste à installer secrètement un code de minage de crypto-monnaie sur un appareil sans le consentement de l’utilisateur afin de miner illégalement des crypto-monnaies. Les signes indiquant qu’un malware de minage est en cours d’exécution sur un appareil incluent une surchauffe et des performances médiocres. La pratique d’utiliser des familles de malwares pour pirater des appareils afin de miner ou de voler des crypto-monnaies n’est pas nouvelle. BlackBerry, l’ancien géant des smartphones, a récemment découvert des scripts malveillants ciblant activement au moins trois secteurs, dont les services financiers, la santé et le gouvernement.
À la lumière de ces menaces émergentes, il est crucial de rester informé et de prendre des mesures préventives. Une façon de le faire est d’utiliser des plateformes comme cryptoview.io, qui fournissent des informations précieuses sur le marché des crypto-monnaies et peuvent aider les utilisateurs à rester au courant des risques potentiels.
Commencez dès maintenant à utiliser nos outils gratuitement.N’oubliez pas, le monde numérique regorge de menaces potentielles. Restez vigilant, restez informé et surtout, restez en sécurité.
