Une nouvelle campagne de logiciels malveillants de masse infecte les utilisateurs avec un mineur de crypto-monnaie nommé Scrypryptominer silencieux en le faisant passer pour un outil conçu pour contourner les blocs Internet et les restrictions autour des services en ligne.
La société russe de cybersécurité Kaspersky a déclaré que l’activité faisait partie d’une tendance plus importante où les cybercriminels exploitent de plus en plus le paquet de Windows (WPD) outils pour distribuer des logiciels malveillants sous couvert de programmes de contournement de restriction.
“Ces logiciels sont souvent distribués sous forme d’archives avec des instructions d’installation de texte, dans lesquelles les développeurs recommandent de désactiver les solutions de sécurité, citant de faux positifs”, les chercheurs Leonid Bezvershenko, Dmitry Pikush et Oleg Kupreev dit. “Cela joue entre les mains des attaquants en leur permettant de persister dans un système non protégé sans risque de détection.”
L’approche a été utilisée dans le cadre de schémas qui propagent les voleurs, les outils d’accès à distance (rats), les chevaux de Troie qui fournissent un accès à distance caché et des mineurs de crypto-monnaie comme Njrat, Xworm, Phemedrone et DCRAT.
La dernière touche de cette tactique est une campagne qui a compromis plus de 2 000 utilisateurs russes avec un mineur déguisé en outil pour contourner les blocs en fonction de l’inspection profonde des paquets (DPI). Le programme aurait été annoncé sous la forme d’un lien vers une archive malveillante via une chaîne YouTube avec 60 000 abonnés.
Dans une escalade ultérieure des tactiques repérées en novembre 2024, les acteurs de la menace ont été trouvés usurpant l’identité de ces développeurs d’outils pour menacer les propriétaires de canaux avec des avis de grève de copyright et exiger qu’ils publient des vidéos avec des liens malveillants ou risquent de faire arrêter leurs chaînes en raison d’une infraction supposée.
“Et en décembre 2024, les utilisateurs ont signalé la distribution d’une version infectée en mineur du même outil via d’autres chaînes télégrammes et youtube, qui ont depuis été fermées”, a déclaré Kaspersky.
Les archives piétigées par des fous ont emballé un exécutable supplémentaire, avec l’un des scripts de lots légitimes modifiés pour exécuter le binaire via PowerShell. Dans le cas où le logiciel antivirus installé dans le système interfère avec la chaîne d’attaque et supprime le binaire malveillant, les utilisateurs affichent un message d’erreur qui les exhorte à redémarrer le fichier et à l’exécuter après avoir désactivé des solutions de sécurité.
L’exécutable est un chargeur basé sur Python conçu pour récupérer un logiciel malveillant à la prochaine étape, un autre script Python qui télécharge la charge utile de mineur SilentCryptominer et établit de la persistance, mais pas avant de vérifier s’il s’exécute dans un bac à sable et de configurer les exclusions de défenseur Windows.
Le mineur, basé sur le mineur open source XMRIG, est rembourré avec des blocs de données aléatoires pour gonfler artificiellement la taille du fichier à 690 Mo et finalement gêner l’analyse automatique par des solutions antivirus et des bacs à sable.
“Pour la furtivité, SilentCryptoner utilise des creux de processus pour injecter le code de mineur dans un processus système (dans ce cas, DWM.EXE)”, a déclaré Kaspersky. “Le malware est capable d’arrêter l’exploitation minière tandis que les processus spécifiés dans la configuration sont actifs. Il peut être contrôlé à distance via un panneau Web.”




