Selon un rapport de l’expert en sécurité Sophos, une variante du logiciel malveillant Mal/Miner-C (aussi connu sous le nom de PhotoMiner) a pu accéder à des disques durs externes de Seagate, 70 pour cent des disques NAS (Network Attached Storage) de Seagate Central, et a été en mesure d’infecter des ordinateurs en vue d'exploiter la crypto-monnaie Monero.PhotoMiner est apparu pour la première fois en juin de cette année. À ce moment-là, les chercheurs ont indiqué qu’il s’attaquait aux serveurs FTP et disposait de fonctionnalités d’auto-propagation sur d’autres serveurs FTP en se servant d’une liste d’identifications par défaut. Cette nouvelle version s’appuie également sur cette technique mais, selon les chercheurs de Sophos, elle profite également d’un bogue dans la conception du logiciel livré avec les disques durs NAS de Seagate Central et se copie dans leurs dossiers de données publiques.
Pour rappel, les disques durs NAS de Seagate Central sont des disques de backup en réseau qui permettent aux utilisateurs de consulter leurs fichiers par le biais d'un réseau local, mais aussi via internet. Les chercheurs expliquent que chaque disque NAS de Seagate Central contient un dossier public qui est accessible par tous les utilisateurs, même s'ils sont anonymes.
Le bogue en question ne permet pas d’effacer le dossier et le compte public. Il suffit donc pour les pirates de trouver les modèles connectés à Internet à l'aide d'un scanner, puis de copier le malware dans l'espace en libre accès. Le fichier utilise l'icône d'un dossier pour tromper l'utilisateur qui, en effectuant un double clic, va tout simplement lancer le processus d’installation du logiciel malveillant sur la machine Windows dont il se sert pour accéder au support de stockage.
PhotoMiner se sert d’une méthode unique de chargement de son fichier de configuration et dispose d’une structure modulaire en différentes parties, qui sont en mesure d'effectuer différentes actions également.
« Comme il génère un nouveau fichier d'initialisation quand il est lancé, il aide le logiciel malveillant à éviter les solutions de sécurité. Il donne également aux opérateurs de botnets une chance de changer la charge utile de la menace à l'avenir, par exemple, désactiver le ransomware de la machine de la victime une fois que l'activité minière n'est plus rentable », a expliqué l'équipe de Sophos dans son rapport.
PhotoMiner a été conçu pour viser spécifiquement Monero, une monnaie numérique qui ne demande pas une aussi grande puissance de calcul que le Bitcoin pour être minée. Monero peut donc encore être « extraite » de PC normaux.
PhotoMiner a infecté 70 % des périphériques NAS Seagate Central disponibles sur internet. Les pirates ont été en mesure de trouver à peu près 7 000 dispositifs connectés, ce qui revient à dire qu’ils en ont infecté environ 5 000. Les experts de Sophos ont réussi à faire une estimation du profit généré par leur activité qu’ils ont chiffrée à un peu plus de 76 000 euros. Ces calculs ont pu être réalisés parce que tous les comptes Monero sur lesquels les pirates collectent de l’argent sont sauvegardés dans le fichier de configuration du logiciel malveillant.
La mauvaise nouvelle c’est que les propriétaires de périphériques NAS Seagate Central ne sont pas en mesure de prévenir de telles attaques : aucune solution contre cette infection n'a encore été trouvée, en dehors du fait de retirer le disque NAS du réseau. Mais, dans ce cas, ils ne seront plus en mesure d’avoir accès au réseau à distance qui est pourtant l’une des raisons qui a motivé leur achat.
Source : rapport de Sophos (au format PDF)
Voir aussi :
GovRAT : le malware déjouant la vigilance des antivirus refait surface en version 2 avec pour première cible les agences du gouvernement américain Les cybercriminels ont recours à Google AdSense pour propager un malware sur Android capable de récupérer les données bancaires des victimes Des chercheurs découvrent le malware Project Sauron qui a espionné des institutions gouvernementales pendant cinq ans sans se faire prendre