Les chercheurs en sécurité ont découvert un malware intéressant qui infecte les systèmes avec un mineur decrypto-monnaie ou un ransomware, en fonction de leurs configurations pour décider lequel des deux systèmes pourrait être le plus rentable. Alors que le ransomware est un type de malware qui verrouille votre ordinateur et vous empêche d’accéder aux données chiffrées jusqu’à ce que vous payez une rançon pour obtenir la clé de déchiffrement nécessaire pour décrypter vos fichiers, les mineurs de cryptomonnaie utilisent la puissance du processeur infecté pour miner les devises numériques.
Sommaire [hide]
Double pénalité avec le Ransomware et le minage illégal de cryptomonnaie
Les attaques basées sur des rançongiciels et le minage de cryptomonnaies ont été les principales menaces en 2018 et ils partagent de nombreuses similitudes telles que les attaques non sophistiquées et une demande de rançon déraisonnable. Cependant, comme le verrouillage d’un ordinateur pour une rançon ne garantit pas toujours un remboursement au cas où les victimes n’auraient rien à perdre, les cybercriminels se sont tournés ces derniers mois vers le minage frauduleux de cryptomonnaie. Les chercheurs de Kaspersky Labsont découvert une nouvelle variante du Ransomware Rakhni , qui a été améliorée pour inclure également la capacité de minage de crypto-monnaie.
Écrit en langage de programmation Delphi, le malware Rakhni est diffusé en utilisant des courriels de phishing avec un fichier MS Word dans la pièce jointe, qui, s’il est ouvert, invite la victime à enregistrer le document et permettre l’édition. Le document inclut une icône PDF qui, si on clique dessus, lance un exécutable malveillant sur l’ordinateur de la victime et affiche immédiatement une fausse boîte de message d’erreur lors de l’exécution, incitant les victimes à penser qu’un fichier système requis pour ouvrir le document est manquant.
Comment le Malware choisit entre la rançon et le minage ?
Cependant, en arrière-plan, le logiciel malveillant effectue ensuite de nombreuses vérifications anti-VM et anti-sandbox pour décider s’il peut infecter le système sans être intercepté. Si toutes les conditions sont remplies, alors le logiciel malveillant effectue davantage de vérifications pour décider de l’infection finale, c’est-à-dire, le ransomware ou le mineur.
1.) Installe Ransomware-si le système cible possède un dossier ‘Bitcoin’ dans la section AppData.
Avant de chiffrer des fichiers avec l’algorithme de cryptage RSA-1024, le programme malveillant met fin à tous les processus correspondant à une liste prédéfinie d’applications courantes, puis affiche une note de rançon via un fichier texte.
2.) Installe le logiciel de crypto-monnaie si le dossier ‘Bitcoin’ n’existe pas et que la machine possède plus de deux processeurs logiques.
Si le système est infecté par un mineur de crypto-monnaie, alors il utilise l’utilitaire MinerGate pour extraire les cryptomonnaies Monero (XMR), Monero Original (XMO) et Dashcoin (DSH) en arrière-plan.
En outre, le logiciel malveillant utilise l’utilitaire CertMgr.exe pour installer les faux certificats racine qui prétendent avoir été émis par Microsoft Corporation et Adobe Systems Incorporated dans le but de déguiser le mineur en tant que processus de confiance.
3.) Active le composant de ver s’il n’y a pas de dossier ‘Bitcoin’ et juste un processeur logique.
Ce composant aide le logiciel malveillant à se copier sur tous les ordinateurs situés sur le réseau local à l’aide de ressources partagées.
Pour chaque ordinateur listé dans le fichier, le cheval de Troie vérifie si le dossier Users est partagé et, si c’est le cas, le malware se copie dans le dossier \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup de chaque utilisateur accessible.
Quelle que soit l’infection choisie, le logiciel malveillant vérifie si l’un des processus antivirus répertoriés est lancé. Si aucun processus AV n’est trouvé dans le système, le programme malveillant exécutera plusieurs commandes cmd pour tenter de désactiver Windows Defender.
Une fonctionnalité de Spyware en plus
“Un autre fait intéressant est que le logiciel malveillant a également une certaine fonctionnalité de spyware – ses messages incluent une liste de processus en cours et une pièce jointe avec une capture d’écran,” disent les chercheurs.
Cette variante de logiciel malveillant cible principalement les utilisateurs en Russie (95,5%), tandis qu’un petit nombre d’infections a été observé au Kazakhstan (1,36%), en Ukraine (0,57%), en Allemagne (0,49%) et en Inde (0,41%).
Commentaires
Enregistrer un commentaire