Des systèmes informatiques puissants sont visés par une campagne de cryptojacking. L’attaque se propage grâce à une opération coordonnée de pollution de référencement qui a aussi manipulé les suggestions d’assistants conversationnels.
La compromission démarre sur des pages de téléchargement malveillantes. Ces pages imitent des utilitaires souvent installés par les utilisateurs de machines performantes, comme CrystalDiskInfo, HWMonitor ou FurMark.
Après l’infection, les pirates obtiennent un accès persistant à la machine. Pour cela, ils déploient l’outil légitime de gestion à distance ScreenConnect, qui peut ensuite servir à installer d’autres programmes nuisibles.
Des chercheurs de Microsoft ont découvert cette campagne. Ils ont établi que l’attaque commence quand des internautes cherchent un de ces utilitaires et tombent sur des liens malveillants qui sont remontés dans les classements des moteurs de recherche.
Des signalements du mois d’avril montrent aussi que des utilisateurs ont été redirigés vers des domaines malveillants après avoir interrogé des assistants basés sur l’intelligence artificielle.
Microsoft précise que dans ces cas-là, les internautes qui demandaient à un chatbot une recommandation pour télécharger un logiciel recevaient en réponse des liens vers des domaines contrôlés par les attaquants.
source : Microsoft
Le fichier malveillant est une archive ZIP hébergée sur un sous-domaine de gleeze[.]com. Ce nom de domaine a déjà été signalé dans le passé pour son association avec des sites de hameçonnage.
Selon Microsoft, l’archive contient l’exécutable légitime de l’utilitaire, mais aussi une DLL malveillante qui se charge automatiquement quand l’utilitaire légitime est lancé.
Les chercheurs ont constaté que cette DLL utilise msiexec.exe pour installer vcredist_x64.dll, qui est un programme d’installation pour l’outil d’accès à distance ScreenConnect.
Une fois qu’une session ScreenConnect est établie avec la machine compromise, le pirate dépose un autre fichier binaire nommé SimpleRunPE.exe. Celui-ci se copie sous le nom RuntimeHost.exe dans un dossier caché de l’Explorateur Windows.
Cet exécutable a pour objectif de créer six mécanismes de persistance dans plusieurs emplacements de démarrage automatique de Windows.
source : Microsoft
Dans certains cas, le binaire est déposé via un script PowerShell malveillant et est enregistré localement sous le nom vlc.exe, pour imiter l’exécutable du lecteur multimédia populaire VideoLAN.
D’après le chemin Program Database de SimpleRunPE.exe, les chercheurs pensent qu’il s’agit d’une version modifiée d’un dépôt public qui sert à démontrer la technique du process hollowing.
Les pirates ont recours à cette technique pour se dissimuler. Ils ont tenté d’insérer leur code dans un binaire .NET légitime signé par Microsoft, comme InstallUtil.exe ou MSBuild.exe.
Dans le même but, le binaire malveillant utilise aussi PowerShell pour ajouter son chemin et son processus à la liste d’exclusions de Microsoft Defender.
Le logiciel malveillant vérifie aussi l’environnement à la recherche de machines virtuelles et de 40 noms de processus qui correspondent à des outils d’analyse. S’il en détecte, il interrompt son exécution.
Une fois l’étape de process hollowing terminée et que le logiciel malveillant s’exécute dans un utilitaire Windows signé par Microsoft, l’un des trois modules de minage est téléchargé et exécuté.
Les programmes de minage pris en charge sont gminer, lolMiner et SRBMiner-MULTI. Tous sont conçus pour utiliser les unités de traitement graphique.
Microsoft indique que cette campagne de cryptomonnaie se distingue par sa stratégie de ciblage et de monétisation. Cette stratégie est conçue pour maximiser le rendement du minage par carte graphique sur chaque appareil compromis, et non pour viser un grand volume d’infections.
Outre les protections fournies par les outils de Microsoft, les organisations peuvent sécuriser leurs environnements en utilisant les indicateurs de compromission qui figurent dans le rapport.