Linux et Windows ciblés par des malwares miners

0

Les programmes malveillants destinés à miner des crypto-monnaies à l’insu de l’utilisateur sont très populaires parmi les cybercriminels. En effet, 500 millions d’utilisateurs dans le monde auraient été victimes de cette cyber-menace, et ce sans le savoir. La plupart de ces Trojans sont conçus pour l’OS Windows, les miners ciblant Linux sont beaucoup plus rares. C’est ce type de malware qui a récemment été détecté par les analystes de Doctor Web.

Les premières attaques ciblant des serveurs tournant sous Linux ont été enregistrées par les analystes au début du mois de mai 2018. Selon l’analyse de Doctor Web, les cybercriminels se connectaient au serveur via SSH, ils trouvaient le mot de passe en utilisant la technique de force brute et après s’être authentifiés sur le serveur, déconnectaient l’utilitaire iptables gérant le pare-feu. Ensuite, les attaquants téléchargeaient sur le serveur ciblé un utilitaire de mining et un fichier de configuration pour cet utilitaire. Pour le lancer, ils éditaient le contenu du fichier file/etc/rc.local. Puis ils stoppaient la connexion.

Au début du mois de juin, les criminels ont changé de schéma et ont commencé à utiliser le malware ajouté aux bases Dr.Web sous le nom de Linux.BtcMine.82. Ce cheval de Troie est écrit en Go et représente un dropper (injecteur ou virus compte-gouttes) dont le corps contient un miner emballé. Le dropper l’enregistre sur le disque et le lance, ce qui simplifie grandement le scénario de l’attaque. L’adresse du portefeuille électronique sur lequel la cryptomonnaie extraite est versée est également enregistrée dans le corps du programme malveillant.

 Linux.BtcMine.82

Les analystes ont examiné un serveur appartenant aux malfaiteurs depuis lequel le Trojan a été téléchargé et ils y ont détecté quelques miners destinés à fonctionner sous Windows.

La version du miner Windows représente une archive RAR auto-extractible contenant un fichier de configuration, quelques scripts VBS pour lancer le miner et l’utilitaire de mining. Après avoir lancé l’archive, l’utilitaire se décompresse vers le dossier %SYSTEMROOT%\addins et s’enregistre en tant que service avec le nom SystemEsinesBreker.

Les versions du miner conçues pour les OS Windows 32-bits et 64-bits sont détectées par Dr.Web Antivirus comme appartenant à la catégorie des mawlares Tool.BtcMine.

Ainsi, on voit un changement significatif dans la scène des cybermenaces: attaques ransomware sur mobile et PC ont chuté de façon spectaculaire ces derniers mois (avec une baisse de près de 30% et 22,5% respectivement). Cependant, le nombre d’utilisateurs qui ont trouvé les mineurs ont augmenté de près de 44,5%, et le nombre de Les utilisateurs qui ont rencontré des mineurs mobiles ont également augmenté, augmentant de 9,5%. Voici quelques conseils pour réduire le risque d’infection par un ransomware ou un mineur.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply