Un nombre croissant d’échantillons de logiciels malveillants dans la nature utilisent des systèmes hôtes pour exploiter secrètement bitcoins. Dans cet article, je vais examiner un programme d’affiliation qui rémunère les gens pour l’installation en masse de programmes qui transforment les machines hôtes en robots de minage de bitcoins.
Le programme d’affiliation FeodalCash Bitcoin Mining.
Bitcoin est une monnaie virtuelle décentralisée, et les bitcoins sont créés par un grand nombre de calculs cryptographiques gourmands en CPU. Comme l’explique Wikipedia, le traitement de Bitcoin transactions est sécurisé par les serveurs appelé mineurs de bitcoins. Ces serveurs communiquent sur un réseau Internet et confirment les transactions en les ajoutant à un registre qui est mis à jour et archivé périodiquement à l’aide d’égal à égalpartage de fichiers La technologie. En plus d’archiver les transactions, chaque nouvelle mise à jour du registre crée de nouveaux bitcoins.
Plus tôt cette semaine, j’ai entendu parler d’un programme d’affiliation en russe appelé FedalCash qui paie ses membres pour distribuer un bot de minage de bitcoins qui oblige les PC hôtes à traiter les transactions en bitcoins (coup de chapeau au chercheur en sécurité Xylitol). FeodalCash a ouvert ses portes en mai 2013 et a recruté de nouveaux membres qui peuvent démontrer qu’ils contrôlent suffisamment le trafic Internet pour garantir au moins plusieurs centaines d’installations du malware de minage de bitcoins chaque jour.
L’administrateur de FeodalCash affirme que son programme de minage n’est pas un logiciel malveillant, bien qu’il déconseille à tous les affiliés de soumettre le programme d’installation à des scanners multi-antivirus tels que Virus total; l’envoi du programme qui installe le bot de minage de bitcoins à Virustotal « complique grandement le travail avec l’antivirus » sur les PC hôtes. Traduction : étant donné que des services tels que Virustotal partagent des informations sur les nouveaux échantillons de logiciels malveillants avec tous les fournisseurs d’antivirus participants, l’analyse du programme d’installation rendra plus probable que les produits antivirus sur les PC hôtes signalent le programme comme malveillant. Au lieu de cela, l’administrateur a exhorté les utilisateurs qui souhaitent vérifier les fichiers pour la détection antivirus à utiliser un service adapté aux criminels comme scan4u[dot]net ou chk4me[dot]com, qui analyse également les fichiers soumis avec des dizaines d’outils antivirus différents, mais empêche ces outils de signaler à la maison des variantes de logiciels malveillants nouvelles et non identifiées.
Cette version du site traduite par Google montre le constructeur du programme d’installation.
J’ai eu accès à un compte affilié et j’ai pu récupérer une copie du programme de minage. J’ai rapidement soumis le fichier à Virustotal et j’ai découvert qu’il était signalé comme un cheval de Troie par au moins deux produits antivirus. Cette analyse sur le site d’analyse automatisée des logiciels malveillants malwr.com montre que le programme d’installation du programme de minage annonce une clé de registre Windows afin que le mineur démarre à chaque démarrage de Windows. Cela indique également que le programme se dirige vers pastebin.com (peut-être pour déposer une note sur chaque nouvelle installation).
L’administrateur de FeodalCash affirme également que ses affiliés ne sont pas autorisés à distribuer le fichier d’installation d’une manière qui viole la loi, mais bien sûr, il n’est pas clair de quelles lois nationales il pourrait parler. Dans le même temps, le site Web du programme d’affiliation comprend un outil graphique qui aide les affiliés à créer un programme d’installation personnalisé qui peut s’installer silencieusement et être déguisé avec une variété d’icônes de programme similaires aux icônes Windows familières.
En outre, l’administrateur exige que les nouveaux utilisateurs démontrent leur capacité à recueillir des centaines à des milliers d’installations par jour. Il s’agit d’un taux d’installation assez élevé, et il semble que de nombreux affiliés, sinon tous, installent le programme de minage en le regroupant avec d’autres programmes exécutables distribués par des programmes dits de paiement par installation (PPI). Cela était évident parce qu’une source a réussi à obtenir un accès de niveau administratif à la base de données principale du programme FeodalCash, qui comprend des centaines de messages entre les affiliés et l’administrateur ; la plupart de ces messages proviennent de nouveaux inscrits qui envoient à l’administrateur des captures d’écran de leur trafic et installent des statistiques sur divers programmes d’affiliation PPI.
Jusqu’à présent, FeodalCash a réussi à attirer au moins 238 affiliés actifs. Voici une copie de la liste des affiliés, avec leurs portefeuilles Bitcoin correspondants. Selon Xylitol, les PC hôtes sur lesquels ce logiciel malveillant de minage de botcoin est actuellement installé font leur travail servile au Pool de minage de bitcoins Eligius. Selon le panel administratif de FeodalCash, les machines infectées n’ont miné qu’environ 140 bitcoins. Chaque bitcoin vaut actuellement environ 100 $ au taux de change actuel, ce qui fait que le total du programme n’est que d’environ 14 000 $. Le taux de génération actuel de bitcoins est d’environ 4,719 bitcoins par jour, soit environ 340,45 $ par jour.
Qui est derrière ce programme d’affiliation ? Cela semble être l’œuvre de deux gars d’Ukraine, qui s’appellent apparemment Igor et Andrei. Andrey donne son adresse e-mail sur certains forums sous la forme « [email protected] ». Cette adresse a été utilisée pour enregistrer au moins dix noms de domaine différents, selon un rapport Reverse Whois produit par domaintools.com. Mais ces domaines n’ont pas été d’une grande aide.
Ensuite, j’ai remarqué que sur l’une des pages d’utilisateurs de FeodalCash figure un avis indiquant que le programme d’affiliation organise une réunion d’utilisateurs ce soir (18 juillet) à Beerlin, un pub de style allemand à Kharkov, en Ukraine ! Le panel des affiliés a également inclus une carte du centre-ville de Kharkov pour aider ceux qui prévoient d’y assister.
Directions pour la réunion des affiliés le 18 juillet 2013 à Beerlin à Kharkov, en Ukraine.