Un logiciel malveillant de minage de cryptomonnaies se cache dans de fausses versions de logiciels populaires distribués via des sites de téléchargement gratuit. Pour ne pas être détecté, il se cache pendant un mois avant de s’exécuter dans une campagne qui a infecté des PC Windows dans le monde entier.
Baptisée Nitrokod, la campagne de malware est active depuis au moins 2019 et a été détaillée par les chercheurs en cybersécurité de Check Point.
Les « cryptojackers » sont une forme de logiciels malveillants qui exploitent secrètement la puissance de calcul des appareils infectés pour miner des cryptomonnaies.
Un processus souvent invisible
Le processus passe souvent inaperçu et la victime de l’attaque ne reçoit pas les crypto-monnaies, qui sont envoyées à l’opérateur du logiciel malveillant, qui utilise probablement un vaste réseau d’appareils infectés pour générer autant de crypto-monnaies que possible, sans avoir à utiliser sa propre puissance de calcul ou son électricité.
Nitrokod est distribué via des sites de téléchargement de logiciels gratuits qui, selon les chercheurs, peuvent être trouvés facilement à l’aide de moteurs de recherche. Les logiciels téléchargés prétendent être des versions de bureau d’applications Web populaires, même s’ils n’ont pas réellement de versions de bureau.
« Le logiciel malveillant est déposé à partir d’applications qui sont populaires, mais qui n’ont pas de version de bureau réelle, comme Google Translate, ce qui maintient les versions du logiciel malveillant en demande et exclusives », a déclaré Check Point.
Mais quiconque télécharge ces applications troyennes se retrouve involontairement infecté par un logiciel malveillant de minage de cryptomonnaie – mais pas avant un mois après le premier téléchargement, en raison d’un processus en plusieurs étapes qui retarde le processus d’infection pour s’assurer que l’attaque n’est pas découverte.
Plusieurs étapes
Le processus d’infection commence lorsque l’application est téléchargée via un installateur Web, qui télécharge et exécute à son tour un installateur .exe utilisé pour maintenir la persistance sur la machine infectée, ainsi que pour renvoyer des informations à son sujet à l’attaquant.
Cinq jours plus tard, l’étape suivante du processus fournit un programme d’installation qui surveille le redémarrage de la machine et, après la quatrième instance, extrait un autre programme d’installation d’un fichier RAR chiffré. Cette approche en plusieurs étapes permet au malware d’éviter d’être détecté dans un bac à sable mis en place par les chercheurs en sécurité.
À ce stade, les preuves des étapes précédentes sont supprimées des fichiers journaux pour éviter que l’installation ne soit suivie et une tâche planifiée est configurée pour se déclencher après 15 jours.
À ce stade, un autre fichier RAR chiffré est téléchargé, qui délivre un autre dropper, qui à son tour délivre un autre dropper à partir d’un fichier chiffré et l’exécute – installant le mineur de cryptomonnaies sur le PC infecté, un mois après le téléchargement du logiciel initial.
Une porte ouverte à d’autres menaces
Selon Check Point, la campagne est restée cachée pendant des années et des victimes du monde entier ont infecté par inadvertance leurs machines avec des logiciels malveillants.
« Ce qui me paraît le plus intéressant, c’est que ce logiciel malveillant est si populaire, mais qu’il est resté caché pendant si longtemps », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software.
Toute personne ayant téléchargé ces applications est invitée à les désinstaller et à supprimer les fichiers malveillants. Pour éviter d’être victime de ce type de téléchargement et d’autres logiciels trojanisés, il est recommandé aux utilisateurs de ne télécharger que des logiciels légitimes sur des sites Web de confiance.
Bien que les cryptojackers fassent partie des formes de logiciels malveillants les moins dommageables, en être victime doit être considéré comme un risque, d’autant plus que les méthodes utilisées pour les installer peuvent être exploitées pour installer d’autres formes de logiciels malveillants plus dommageables, notamment les ransomwares et les trojans voleurs de mots de passe.
« Actuellement, la menace que nous avons identifiée consiste à installer sans le savoir un mineur de cryptomonnaies, qui vole les ressources de l’ordinateur et les exploite pour que l’attaquant puisse en tirer profit. En utilisant le même flux d’attaque, l’attaquant peut facilement choisir de modifier la charge utile finale de l’attaque, la faisant passer d’un mineur de cryptomonnaies à, par exemple, un ransomware ou un cheval de Troie bancaire », a déclaré Maya Horowitz.
Source : ZDNet.com
