Plus de 28 000 personnes originaires de Russie, de Turquie, d’Ukraine et d’autres pays de la région eurasienne ont été touchées par une campagne de logiciels malveillants de vol de crypto-monnaie à grande échelle.
La campagne de logiciels malveillants se déguise en logiciels légitimes promus via des vidéos YouTube et des référentiels GitHub frauduleux où les victimes téléchargent des archives protégées par mot de passe qui initient l’infection.
Selon la société de cybersécurité Dr. Web, la campagne utilise des logiciels piratés liés au bureau, des astuces et des piratages de jeux, et même des robots de trading automatisés pour inciter les utilisateurs à télécharger des fichiers malveillants.
« Au total, cette campagne de logiciels malveillants a touché plus de 28 000 personnes,dont la grande majorité sont des résidents de Russie », a déclaré le Dr Web.
« Un nombre important d’infections ont également été observées en Biélorussie, en Ouzbékistan, au Kazakhstan, en Ukraine, au Kirghizistan et en Turquie. »
Chaîne d’infection
L’infection commence par l’ouverture d’une archive auto-extractible qui échappe aux analyses antivirus lorsqu’elle est téléchargée car elle est protégée par mot de passe.
Une fois que la victime a entré le mot de passe fourni, l’archive supprime divers scripts obscurcis, des fichiers DLL et un interpréteur AutoIt utilisé pour lancer le chargeur signé numériquement de la charge utile principale.
Le malware vérifie la présence d’outils de débogage pour voir s’il s’exécute sur l’environnement d’un analyste et se termine s’il en trouve.
Ensuite, il extrait les fichiers requis pour les étapes suivantes de l’attaque, puis utilise la technique des Options d’exécution de fichier image (IFEO) pour modifier le Registre Windows à des fins de persistance.
En bref, il détourne les services système Windows légitimes ainsi que les processus de mise à jour de Chrome et Edge avec des processus malveillants, de sorte que les fichiers malveillants sont exécutés au lancement de ces processus.
Le service de récupération Windows est désactivé et les autorisations » supprimer « et » modifier » sur les fichiers et dossiers du logiciel malveillant sont révoquées pour empêcher les tentatives de nettoyage.
À partir de là, l’utilitaire réseau Ncat est utilisé pour établir la communication avec le serveur de commande et de contrôle (C2).
Le malware peut également collecter des informations système, y compris l’exécution de processus de sécurité, qu’il exfiltrera via un bot Telegram.
Impact financier
La campagne fournit deux charges utiles clés sur les machines des victimes. Le premier est » Deviceld.dll, » une bibliothèque. NET modifiée utilisée pour exécuter le SilentCryptoMiner, qui extrait la crypto-monnaie en utilisant les ressources informatiques de la victime.
La deuxième charge utile est « 7zxa.dll, » une bibliothèque 7-Zip modifiée qui agit comme un coupe-papier, surveillant le presse-papiers Windows pour les adresses de portefeuille copiées et les remplaçant par des adresses sous le contrôle de l’attaquant.
Dr. Web n’a pas précisé dans le rapport les bénéfices potentiels de l’exploitation minière des 28 000 machines infectées, mais a constaté que le clipper à lui seul avait détourné 6 000 dollars de transactions, détournant le montant sur les adresses de l’attaquant.
Pour éviter des pertes financières inattendues, téléchargez uniquement le logiciel sur le site officiel du projet et bloquez ou ignorez les résultats sponsorisés sur la recherche Google.
De plus, faites attention aux liens partagés sur YouTube ou GitHub, car la légitimité de ces plateformes ne garantit pas la sécurité de la destination de téléchargement.