Un outil Windows légitime utilisé pour créer des progiciels appelé Installateur avancé est exploité par des acteurs malveillants pour supprimer des logiciels malveillants d’extraction de crypto-monnaie sur les machines infectées depuis au moins novembre 2021.
“L’attaquant utilise Installateur avancé pour empaqueter d’autres installateurs de logiciels légitimes, tels qu’Adobe Illustrator, Autodesk 3ds Max et SketchUp Pro, avec des scripts malveillants et utilise la fonctionnalité d’actions personnalisées d’Advanced Installer pour obliger les installateurs de logiciels à exécuter les scripts malveillants », Chetan Raghuprasad, chercheur chez Cisco Talos. dit dans un rapport technique.
La nature des applications utilisées par les chevaux de Troie indique que les victimes proviennent probablement des secteurs de l’architecture, de l’ingénierie, de la construction, de la fabrication et du divertissement. Les installateurs de logiciels utilisent majoritairement la langue française, signe que les utilisateurs francophones sont montrés du doigt.
Ce campagne est stratégique dans la mesure où ces industries s’appuient sur des ordinateurs dotés d’une puissance d’unité de traitement graphique (GPU) élevée pour leurs opérations quotidiennes, ce qui en fait des cibles lucratives pour le cryptojacking.
L’analyse par Cisco des données de requête DNS envoyées à l’infrastructure de l’attaquant montre que l’empreinte victimologique s’étend sur la France et la Suisse, suivie par des infections sporadiques aux États-Unis, au Canada, en Algérie, en Suède, en Allemagne, en Tunisie, à Madagascar, à Singapour et au Vietnam.
Les attaques aboutissent au déploiement d’un M3_Mini_Rat, un script PowerShell qui agit probablement comme une porte dérobée pour télécharger et exécuter des menaces supplémentaires, ainsi que de plusieurs familles de logiciels malveillants d’extraction de crypto-monnaie telles que PhoenixMiner et lolMiner.
En ce qui concerne le vecteur d’accès initial, on soupçonne que des techniques d’empoisonnement par optimisation des moteurs de recherche (SEO) ont pu être utilisées pour fournir les installateurs de logiciels truqués sur les machines de la victime.
Le programme d’installation, une fois lancé, active une chaîne d’attaque en plusieurs étapes qui supprime le stub client M3_Mini_Rat et les binaires du mineur.
“Le client M3_Mini_Rat est un script PowerShell doté de capacités d’administration à distance qui se concentre principalement sur la reconnaissance du système ainsi que sur le téléchargement et l’exécution d’autres binaires malveillants”, a déclaré Raghuprasad.
Le cheval de Troie est conçu pour contacter un serveur distant, bien qu’il ne réponde pas actuellement, ce qui rend difficile la détermination de la nature exacte du malware susceptible d’avoir été distribué via ce processus.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Les deux autres charges utiles malveillantes sont utilisées pour extraire illégalement des crypto-monnaies en utilisant les ressources GPU de la machine. PhoenixMiner est un malware d’extraction de crypto-monnaie Ethereum, tandis que lolMiner est un logiciel d’exploitation minière open source qui peut être utilisé pour extraire deux monnaies virtuelles en même temps.
Dans un autre cas d’abus légitime d’un outil, Check Point met en garde contre un nouveau type d’attaque de phishing qui exploite Google Looker Studio pour créer de faux sites de phishing de crypto-monnaie dans le but de contourner les protections.
“Les pirates l’utilisent pour créer de fausses pages cryptographiques conçues pour voler de l’argent et des informations d’identification”, a déclaré le chercheur en sécurité Jeremy Fuchs. dit.
“C’est une longue façon de dire que les pirates exploitent l’autorité de Google. Un service de sécurité de messagerie examinera tous ces facteurs et aura une grande confiance dans le fait qu’il ne s’agit pas d’un e-mail de phishing et qu’il provient de Google.”