Les pirates informatiques exploitent un outil Windows pour distribuer un logiciel malveillant de minage de cryptomonnaie dans le monde entier.
Summary:
Des pirates informatiques ont infecté des machines avec un logiciel malveillant de minage de cryptocurrencies grâce à un outil Windows appelé Advanced Installer depuis novembre 2021. Les attaquants exploitent cet outil pour exécuter des scripts malveillants sur des appareils ciblés, principalement utilisés pour la modélisation 3D et le graphisme. La campagne affecte principalement les utilisateurs en France et en Suisse, mais des infections ont également été signalées dans d'autres pays. Le logiciel malveillant déploie des scripts PowerShell et des scripts Windows batch pour établir une porte dérobée et exécuter des programmes de minage tels que PhoenixMiner et lolMiner. Cette forme de cryptojacking consiste à extraire illégalement des cryptocurrencies à l'insu ou sans le consentement de l'utilisateur.
Les pirates informatiques utilisent un outil Windows pour distribuer des logiciels malveillants conçus pour le minage de cryptomonnaies depuis novembre 2021, comme le révèle une analyse réalisée par Talos Intelligence de Cisco. L'attaquant exploite Windows Advanced Installer, un logiciel qui aide les développeurs à créer des programmes d'installation, comme Adobe Illustrator, pour effectuer des actions malveillantes sur les appareils compromis. Un article de blog publié le 7 septembre révèle que les programmes d'installation ciblés sont principalement utilisés à des fins de modélisation 3D et de conception graphique. De plus, la majorité de ces programmes d'installation sont rédigés en français. Selon l'analyse, cela suggère que les victimes sont susceptibles d'appartenir à différents secteurs d'activité, notamment l'architecture, l'ingénierie, la construction, la fabrication et le divertissement, dans des pays francophones. La campagne semble principalement toucher les utilisateurs en France et en Suisse, mais il y a également eu quelques infections dans d'autres pays tels que les États-Unis, le Canada, l'Algérie, la Suède, l'Allemagne, la Tunisie, Madagascar, Singapour et le Vietnam, selon les données de requête DNS transmises à l'hôte de commande et de contrôle de l'attaquant. L'enquête de Talos a identifié une campagne de minage de cryptomonnaies qui utilise des scripts PowerShell malveillants et des scripts Windows batch pour exécuter des commandes et établir une porte dérobée sur la machine de la victime. Il est à noter que PowerShell fonctionne en mémoire système plutôt que sur le disque dur, ce qui rend l'attaque plus difficile à détecter. Une fois que la porte dérobée est installée avec succès, l'attaquant déploie d'autres menaces, notamment le programme de minage de cryptomonnaies Ethereum PhoenixMiner et lolMiner, qui est une menace de minage multi-devise. L'exécution de ces scripts malveillants utilise la fonctionnalité d'action personnalisée d'Advanced Installer, qui permet aux utilisateurs de définir des tâches d'installation personnalisées. Les charges utiles finales comprennent PhoenixMiner et lolMiner, qui sont tous deux des mineurs publics exploitant les capacités de calcul des cartes graphiques des ordinateurs. L'utilisation de logiciels malveillants de minage de cryptomonnaies, connus sous le nom de cryptojacking, consiste à installer secrètement un code de minage sur un appareil sans le consentement ni la connaissance de l'utilisateur, dans le but de miner illégalement des cryptomonnaies. Les signes courants indiquant la présence de logiciels malveillants de minage sur un appareil sont la surchauffe et la diminution des performances. L'exploitation de familles de logiciels malveillants pour miner ou voler des cryptomonnaies n'est pas une nouvelle technique. L'ancien géant du smartphone, BlackBerry, a récemment identifié des scripts malveillants ciblant activement trois secteurs : les services financiers, la santé et le gouvernement.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.