Le cryptojacking consiste à utiliser secrètement les ressources d’un dispositif autre que le sien afin de miner de la monnaie cryptographique. Ce concept est né en septembre dernier lorsque CoinHive a proposé un script pour le minage des devises virtuelles. Il oblige en général les attaquants à recourir à un cryptomineur, un malware exploitant la puissance de calcul de la machine de ses victimes pour miner des cryptomonnaies (monero en l’occurrence).Plus longtemps le cryptomineur reste actif sur un système, plus la somme engrangée par l’attaquant sera importante. Partant de ce constat, on pouvait d’ores et déjà supposer que le nombre d’attaques par cryptojacking irait croissant dans le futur et qu’elles deviendraient encore plus sophistiquées afin de rendre la détection et la suppression des cryptomineurs par les antivirus toujours plus difficile.
Un cryptomineur d’un genre nouveau basé sur XMRig vient d’être découvert par des chercheurs de Qihoo 360, une entreprise chinoise de sécurité informatique qui commercialise l’antivirus « ;360 Total Security ;». Il utilise la puissance de calcul des machines de ses victimes pour miner la cryptomonnaie monero. Ce malware baptisé « ;WinstarNssmMiner ;» a la particularité d’entrainer le crash du système lorsqu’un antivirus tente de le neutraliser et aurait déjà infecté près de 500 millions d’internautes.
« ;WinstarNssmMiner ;» démarre le processus Service Host (svchost.exe) qui est utilisé sur différents systèmes d’exploitation Windows pour gérer les services de l’OS exécutés à partir de bibliothèques dynamiques. Rappelons que le processus svchost.exe vérifie le registre pour des services chargeant un fichier .dll et les lancent. Il y a généralement plusieurs processus svchost.exe qui sont actifs au même moment, chacun d’eux représentant un groupe de services essentiels s’exécutant sur la machine.
« ;WinstarNssmMiner ;» va modifier le Registre Windows de manière à ce que svchost.exe charge son fichier .dll et se camoufler derrière le processus svchost.exe qu’il a initié pour lancer ses opérations de minage de cryptomonnaies et de surveillance du système. Il va par la suite modifier ses attributs en se faisant passer pour un processus critique indispensable au fonctionnement du système, ce qui lui permet de déclencher le plantage du système chaque fois qu’on essayera de le fermer de force.
Ce malware aurait tendance à vérifier les systèmes sur lesquels il est présent afin de détecter la présence d’un éventuel antivirus. D’après 360 Total Security, si l’antivirus trouvé est une « ;solution décente ;» offerte par des sociétés réputées comme Kaspersky Lab, WinstarNssmMiner partira de lui-même. Mais si au contraire il ne détecte aucun antivirus digne de ce nom, il s’installera et démarrera ses activités malveillantes.
Source : Blog 360 Total Security
Et vous ?
Qu’en pensez-vous ?Voir aussi
Opera 50 va proposer aux utilisateurs une protection native contre le cryptojacking intégrée dans son bloqueur de pub Cryptojacking : les datacenters et les infrastructures cloud pourraient être les prochaines cibles des cybercriminels, selon une étude Bitdefender Les scripts de cryptojacking pourraient profiter d'une nouvelle fonctionnalité de Word afin de miner de la cryptomonnaie