Les cybercriminels exploitent un outil Windows légitime appelé « Advanced Installer » pour infecter les ordinateurs des graphistes avec des mineurs de cryptomonnaie.

Les attaquants font la promotion des programmes d’installation de logiciels de modélisation 3D et de conception graphique populaires tels qu’Adobe Illustrator, Autodesk 3ds Max et SketchUp Pro, probablement via des techniques d’optimisation des moteurs de recherche Black Hat.

Cependant, ces installateurs incluent des scripts malveillants cachés qui infectent les téléchargeurs avec des chevaux de Troie d’accès à distance (RAT) et des charges utiles de cryptomining.

Les auteurs de la menace se concentrent sur ces cibles spécifiques, car les graphistes, les animateurs et les monteurs vidéo sont plus susceptibles d’utiliser des ordinateurs dotés de GPU puissants prenant en charge des taux de hachage minier plus élevés, ce qui rend l’opération de cryptojacking plus rentable.

La campagne a été découverte par Cisco Talos, qui rapporte aujourd’hui qu’elle est en cours depuis au moins novembre 2021.

Actuellement, la plupart des victimes se trouvent en France et en Suisse, tandis qu’il existe également un nombre notable d’infections aux États-Unis, au Canada, en Allemagne, en Algérie et à Singapour.

Carte thermique des victimes

Deux méthodes d’attaque
Les analystes de Cisco ont observé deux attaques distinctes utilisées dans cette campagne.

Dans les deux cas, les attaquants utilisent Advanced Installer pour créer des fichiers d’installation pour Windows contenant des scripts PowerShell et batch malveillants qui sont exécutés au lancement du programme d’installation via la fonctionnalité « Action personnalisée » du logiciel.

Les deux méthodes d’attaque diffèrent par les scripts exécutés, la complexité de la chaîne d’infection et les charges utiles finales déposées sur l’appareil cible.

La première méthode utilise un script batch (core.bat) pour configurer une tâche récurrente exécutant un script PowerShell qui déchiffre la charge utile finale (M3_Mini_Rat).

Première méthode d’attaque

La deuxième méthode d’attaque supprime deux scripts malveillants, core.bat et win.bat, qui configurent des tâches planifiées pour exécuter des scripts PowerShell.

Le PowerShell exécuté par le fichier win.bat déchiffre un script de téléchargement et récupère une archive ZIP contenant une charge utile (PhoenixMiner ou lolMiner), un deuxième script PS (pour lequel core.bat planifie) et un autre fichier crypté.

Deuxième méthode d’attaque

La première méthode, qui délivre une charge utile de porte dérobée, pourrait être choisie par les attaquants dans les cas où le maintien d’un accès discret et prolongé aux systèmes cibles est l’objectif principal.

La deuxième méthode d’attaque, qui utilise des cryptomineurs, vise à obtenir des gains financiers rapides avec un risque de détection plus élevé.

Charges utiles minières et RAT
La charge utile M3_Mini_Rat offre aux attaquants des capacités d’accès à distance, leur permettant d’effectuer une reconnaissance du système et d’installer des charges utiles supplémentaires sur le système infecté.

L’outil RAT peut exécuter les fonctions suivantes :

  • Reconnaissance du système : collecte des détails tels que le nom d’utilisateur, la version du système d’exploitation, l’état de l’antivirus, l’état du réseau et les spécifications matérielles.
  • Gestion des processus : répertorie et gère les processus en cours, y compris les capacités de terminaison.
  • Exploration du système de fichiers : énumère les lecteurs logiques et récupère les détails de dossiers spécifiques.
  • Commande et contrôle : utilise une connexion TCP pour les tâches d’administration à distance et la réception des commandes.
  • Gestion des fichiers : gère le téléchargement, la vérification, le renommage et la suppression de fichiers, et peut exécuter des fichiers binaires malveillants.
  • Transmission de données : renvoie les données, y compris les détails de reconnaissance, au serveur de l’attaquant.
  • Vérifications spéciales : identifie les processus de serveur spécifiques, comme le serveur du centre de connexion Citrix.
  • Quitter : propose des moyens de quitter le client en toute sécurité et de gérer ses flux de données.
M3_Mini_Rat chargeant une charge utile directement sur la mémoire

Les deux autres charges utiles, PhoenixMiner et lolMiner, exploitent la crypto-monnaie en détournant la puissance de calcul des cartes graphiques AMD, Nvidia et Intel (lolMiner uniquement).

PhoenixMiner est un mineur Ethash (ETH, ETC, Musicoin, EXP, UBQ, etc.), tandis que lolMiner prend en charge plusieurs protocoles, notamment Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish et autres.

La version de lolMiner repérée dans cette campagne est la 1.76, qui prend en charge le minage simultané de deux crypto-monnaies différentes.

La configuration de PhoenixMiner définit la limite de puissance du GPU à 75 % et la vitesse maximale du contrôle amusant du système à 65 %.

Des restrictions similaires sont observées dans les paramètres lolMiner, qui utilise 75 % de la puissance du GPU et met en pause l’exploitation minière si la température atteint 70 degrés Celsius.

Cela indique que les attaquants tentent d’éviter d’être détectés en utilisant trop de ressources.

Une liste complète des indicateurs de compromission pour cette campagne est disponible sur ce référentiel GitHub.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *