Nouvelle Campagne de Cryptojacking Identifiée
La société de cybersécurité Darktrace a identifié une nouvelle campagne de cryptojacking conçue pour contourner Windows Defender et déployer un logiciel de minage de cryptomonnaie. Cette campagne, d’abord détectée fin juillet, implique une chaîne d’infection multi-étapes qui détourne discrètement la puissance de traitement d’un ordinateur pour miner des cryptomonnaies. Les chercheurs de Darktrace, Keanna Grelicha et Tara Gould, ont partagé leurs découvertes dans un rapport publié sur crypto.news.
Technique d’Infection
Selon les chercheurs, cette campagne cible spécifiquement les systèmes basés sur Windows en exploitant PowerShell, le shell de commande et le langage de script intégré de Microsoft. Grâce à cet outil, les acteurs malveillants peuvent exécuter des scripts nuisibles et obtenir un accès privilégié au système hôte. Ces scripts sont conçus pour s’exécuter directement dans la mémoire vive (RAM), rendant ainsi les outils antivirus traditionnels, qui s’appuient généralement sur l’analyse des fichiers sur les disques durs, incapables de détecter le processus malveillant.
Par la suite, les attaquants utilisent le langage de programmation AutoIt, un outil Windows généralement utilisé par les professionnels de l’informatique pour automatiser des tâches, afin d’injecter un chargeur malveillant dans un processus Windows légitime. Ce chargeur télécharge et exécute ensuite un programme de minage de cryptomonnaie sans laisser de traces évidentes sur le système. En guise de défense supplémentaire, le chargeur est programmé pour effectuer une série de vérifications d’environnement, telles que la recherche de signes d’un environnement sandbox et l’inspection de l’hôte pour détecter les produits antivirus installés. L’exécution ne se poursuit que si Windows Defender est la seule protection active. De plus, si le compte utilisateur infecté n’a pas de privilèges administratifs, le programme tente de contourner le contrôle de compte utilisateur pour obtenir un accès élevé.
Exécution du Minage
Lorsque ces conditions sont remplies, le programme télécharge et exécute NBMiner, un outil de minage de cryptomonnaie bien connu qui utilise l’unité de traitement graphique d’un ordinateur pour miner des cryptomonnaies telles que Ravencoin (RVN) et Monero (XMR). Dans ce cas, Darktrace a pu contenir l’attaque en utilisant son système de réponse autonome, empêchant l’appareil d’établir des connexions sortantes et bloquant des connexions spécifiques vers des points de terminaison suspects.
« Alors que la cryptomonnaie continue de gagner en popularité, comme le montre la valorisation élevée actuelle de la capitalisation boursière mondiale des cryptomonnaies (près de 4 trillions USD au moment de la rédaction), les acteurs de la menace continueront de considérer le cryptomining comme une entreprise rentable, » ont écrit les chercheurs de Darktrace.
En juillet, Darktrace avait signalé une campagne distincte où des acteurs malveillants utilisaient des tactiques complexes d’ingénierie sociale, telles que l’imitation de vraies entreprises, pour tromper les utilisateurs en leur faisant télécharger des logiciels altérés qui déploient des logiciels malveillants de vol de cryptomonnaie. Contrairement au schéma de cryptojacking mentionné ci-dessus, cette approche ciblait à la fois les systèmes Windows et macOS et était exécutée par des victimes non conscientes qui croyaient interagir avec des membres du personnel de l’entreprise.
