Impact du Logiciel Malveillant de Vol de Cryptomonnaie sur 28 000 Personnes dans la Région Eurasienne
Une campagne de logiciel malveillant de grande envergure a touché plus de 28 000 personnes de Russie, de Turquie, d’Ukraine et d’autres pays de la région eurasiatique.
La campagne de logiciel malveillant se déguise en logiciel légitime promu via des vidéos YouTube et de faux dépôts GitHub où les victimes téléchargent des archives protégées par mot de passe qui lancent l’infection.
La campagne utilise des logiciels piratés liés au bureau, des astuces pour jeux et des hacks, ainsi que des robots de trading automatique pour tromper les utilisateurs en téléchargeant des fichiers malveillants.
Selon la société de cybersécurité Dr. Web, cette campagne de logiciel malveillant a affecté plus de 28 000 personnes, dont la grande majorité résident en Russie.
Des infections significatives ont également été observées au Bélarus, en Ouzbékistan, au Kazakhstan, en Ukraine, au Kirghizistan et en Turquie.
Cycle d’Infection
L’infection commence par l’ouverture d’une archive auto-extractible qui échappe aux analyses antivirus lorsqu’elle est téléchargée car elle est protégée par un mot de passe.
Une fois que la victime entre le mot de passe fourni, l’archive dépose divers scripts obfusqués, des fichiers DLL et un interprète AutoIT utilisé pour lancer le chargeur signé numériquement de la charge principale.
Le logiciel malveillant vérifie la présence d’outils de débogage pour voir s’il s’exécute dans un environnement d’analyste et se termine s’il en trouve.
Ensuite, il extrait les fichiers nécessaires pour les étapes suivantes de l’attaque et utilise la technique Image File Execution Options (IFEO) pour modifier le Registre Windows pour la persistance.
En bref, il détourne les services système Windows légitimes ainsi que les processus de mise à jour de Chrome et Edge avec des processus malveillants, de sorte que les fichiers malveillants sont exécutés lors du lancement de ces processus.
Le service de récupération Windows est désactivé et les autorisations de « suppression » et de « modification » sur les fichiers et dossiers du logiciel malveillant sont révoquées pour empêcher les nettoyages.
À partir de là, l’utilitaire réseau Ncat est utilisé pour établir une communication avec le serveur de commande et de contrôle (C2).
Le logiciel malveillant peut également collecter des informations système, y compris les processus de sécurité en cours d’exécution, qu’il exfiltre via un bot Telegram.
Impact Financier
La campagne livre deux charges principales sur les machines des victimes. La première est « Deviceld.dll », une bibliothèque .NET modifiée utilisée pour exécuter le SilentCryptoMiner, qui extrait des cryptomonnaies en utilisant les ressources informatiques de la victime.
La seconde charge est « 7zxa.dll », une bibliothèque 7-Zip modifiée qui agit comme un coupeur, surveillant le presse-papiers Windows pour les adresses de portefeuille copiées et les remplaçant par des adresses contrôlées par l’attaquant.
Dr. Web n’a pas spécifié dans le rapport les profits potentiels de minage des 28 000 machines infectées, mais a constaté que le coupeur seul avait détourné des transactions d’une valeur de 6 000 $, redirigeant le montant vers les adresses de l’attaquant.
Pour éviter des pertes financières inattendues, téléchargez uniquement des logiciels à partir du site officiel du projet et bloquez ou ignorez les résultats promus sur Google Search.
De plus, méfiez-vous des liens partagés sur YouTube ou GitHub, car la légitimité de ces plates-formes ne garantit pas la sécurité de la destination de téléchargement.
Source : www.bleepingcomputer.com