Un nouveau crypto-malware profite de la popularité de « Spider-Man: No Way Home », le dernier opus de la série. Le film a récemment été présenté en première mondiale et en quelques jours, a brisé toutes les attentes en termes de revenus, car il a enregistré plus de 250 millions de dollars dans le monde lors de son premier week-end.
Lecture connexe | Huobi Korea supprime l’affaire Monero Over Nth Room, Bithumb pourrait suivre
L’excitation générée par le dernier film de Marvel a été exploitée par de mauvais acteurs, selon un rapport par ReasonLabs, une entreprise de cybersécurité. Surnommé le « Spier-Miner », ce malware a été créé pour « attirer les victimes » vers un fichier Torrent avec une copie présumée de « No Way Home ».
Un torrent, généralement téléchargé à partir de plateformes telles que ThePirateBay, est un fichier partagé par de nombreux utilisateurs à travers le monde. Sa nature décentralisée permet à ce type de documents numériques de contourner la censure, les organismes de sécurité nationale, au profit ou au détriment de ses utilisateurs.
Reason Security a identifié le fichier comme « spiderman_net_putidmoi.torrent.exe » qui signifie « spiderman_no_wayhome.torrent.exe » lorsqu’il est traduit du russe. Les victimes de ce crypto-malware subiront ce qui suit si elles téléchargent le fichier :
Ce mineur ajoute des exclusions à Windows Defender, crée une persistance et génère un processus de surveillance pour maintenir son activité.
Le rapport affirme en outre que le crypto-malware a été conçu pour échapper à l’examen. Par conséquent, ses processus sont «écrits avec des noms légitimes». Le logiciel malveillant, a confirmé Reason Security, peut « démarrer un processus et injecter ses ressources intégrées dans un autre processus ».
La cible est un dossier situé dans le répertoire Windows. Afin d’infecter et de détourner les ressources de l’ordinateur, le malware décompresse les fichiers lors de l’exécution dans la fonction svchost.exe. De plus, le logiciel malveillant est capable d’affecter Microsoft Defender, l’antivirus le plus couramment utilisé pour les ordinateurs Windows.
Le programme démarre deux commandes encodées powershell, qui ajoutent les exclusions étendues suivantes à Microsoft Defender : ignorer tous les dossiers sous le profil utilisateur, le lecteur système (c’est-à-dire « c:\ ») et tous les fichiers avec les extensions « .exe » ou « .dll ».
Pourriez-vous exploiter de la crypto sans le savoir ?
Il a installé avec succès le crypto-malware qui récupère la puissance de l’ordinateur pour exploiter Monero, une pièce de confidentialité qui fonctionne avec des transactions totalement introuvables. Le processus de minage est maintenu actif via un fichier appelé « oocetcmsrfsmni ».
Le rapport affirme avoir été en mesure d’identifier la ressource responsable de l’exploitation minière une fois le svchost analysé. Sur ce dossier, le crypto-malware a injecté le programme de minage « xmrig », le logiciel qui exploite Monero, comme le montre l’image ci-dessous.
IMAGE
Le programme malveillant est capable de rester caché des programmes tels que le gestionnaire de tâches, Perfmon, Process Hacker et Process Explorer. En conclusion, Reason a dit aux utilisateurs ce qui suit tout en conseillant de toujours :
Bien que ce malware ne compromette pas les informations personnelles (ce dont la plupart des utilisateurs ont peur lorsqu’ils pensent à un virus sur leur ordinateur), les dommages causés par un mineur peuvent être vus dans la facture d’électricité de l’utilisateur. C’est de l’argent réel qu’ils doivent payer (…)
Lecture connexe | Confirmé: les échanges atomiques entre Bitcoin et Monero sont une solution. Voici le 411.
Au moment de mettre sous presse, XMR se négocie à 205 $ avec une perte de 1,4% au cours des dernières 24 heures.
