Chercheurs en cybersécurité de ReasonLabs averti que le téléchargement illégal « Spider-Man: No Way Home » sur les sites de partage peer-to-peer était infecté par un malware torrent.
L’équipe a expliqué que le malware Spider-Man était une nouvelle version d’un crypto mineur Monero persistant connu, auparavant déguisé en applications populaires telles que Windows Updater, l’application Discord, entre autres.
Selon les chercheurs, le malware utilise diverses techniques de dissimulation pour éviter la détection par diverses solutions de sécurité tout en s’exécutant de manière persistante sur les appareils infectés.
Bien qu’ils n’aient pas pu déterminer combien d’utilisateurs avaient téléchargé le torrent, ils ont suggéré que le malware était là depuis un certain temps.
Les chercheurs de ReasonLabs ont déclaré avoir découvert le malware torrent Spider-Man après qu’un de leurs utilisateurs a téléchargé un fichier infecté qui a été signalé comme malware.
Ils ont attribué la détection à leur vaste base de données de logiciels malveillants qui leur permet de signaler diverses menaces et de les recouper avec d’autres bases de données telles que Nombre total de virus.
Cependant, ils ont noté que le malware torrent Spider-Man qui n’était pas signé et écrit en .NET, était absent de la base de données de malware VirusTotal et ne correspondait à aucun fichier suspect connu.
« Le fichier s’identifie comme « Spiderman_net_putidomoi.torrent.exe », qui se traduit du russe par « Spiderman_no_wayhome.torrent.exe ». L’origine du fichier provient très probablement d’un site de torrent russe.
Le malware torrent Spider-Man ajoute des exclusions à Microsoft Defender et les injecte dans svchost.exe
Les chercheurs ont noté que le malware torrent Spider-Man tente de dissimuler sa nature malveillante en créant des fichiers et des processus avec des noms légitimes. La stratégie permet au mineur de crypto de s’exécuter en arrière-plan sans éveiller les soupçons.
De plus, le malware torrent prétend provenir de Google, crée des fichiers sihost64.exe et WR64.sys, décompresse un fichier compressé au moment de l’exécution, injecte son contenu dans le processus svchost.exe et ajoute des exclusions à Microsoft Defender. Le crypto mineur crée également un « processus de surveillance » pour tuer tout service avec ses composants afin de garantir qu’une seule instance était en cours d’exécution.
Le malware torrent brouille également les noms de fonctions et les chaînes à l’aide de l’encodage base64. Cependant, les chercheurs ont déterminé que le crypto mineur était une variante de SilentXMRMiner.
Bien que le mineur crypto ne compromette pas les informations des utilisateurs, il draine la puissance et le processeur de l’ordinateur, ralentissant considérablement l’appareil et augmentant la facture d’électricité.
Sean Nikkel, analyste principal de Cyber Threat Intel chez Ombres numériques a déclaré que cacher des mineurs de crypto dans le fichier de film Spider-Man ou d’autres actifs médiatiques populaires était une vieille tactique qui avait été portée sur des sites de partage de fichiers peer-to-peer.
« Il y a probablement beaucoup de membres de la génération X et de la génération Y qui se souviennent de l’époque où ils téléchargeaient des fichiers aléatoires d’étrangers à Kazaa et Limewire à la recherche de fichiers MP3 ou vidéo rares ou gratuits et se sont retrouvés avec un cheval de Troie ou une méchanceté similaire. »
Jasmine Henry, directrice de la sécurité sur le terrain chez JupiterOne, a conseillé aux organisations d’éduquer leurs employés sur la politique de téléchargement de fichiers.
« Les équipes de sécurité doivent revoir leurs politiques d’utilisation acceptable et rappeler périodiquement aux employés que le partage illégal de fichiers peer-to-peer à la maison ou sur les appareils de travail comporte des risques de sécurité assez désagréables. »
Les chercheurs de ReasonLabs conseillent aux utilisateurs de vérifier les extensions de fichier lors du téléchargement de contenu en ligne pour s’assurer qu’il correspond au type de contenu. Par exemple, les utilisateurs doivent s’assurer qu’un fichier vidéo se termine par une extension « .mp4 » au lieu de « .exe ».
Les utilisateurs de Windows peuvent activer de vraies extensions de fichiers en ouvrant un dossier, en cliquant sur « Afficher » et en cochant la case « Extensions de nom de fichier ». Sinon, les acteurs malveillants pourraient inclure de fausses extensions de fichier dans le nom de fichier pour tromper les utilisateurs.
De plus, ils doivent recueillir des informations sur le fichier et y réfléchir à deux fois avant de double-cliquer dessus.
« Nous vous recommandons de faire très attention lorsque vous téléchargez du contenu de toute nature à partir de sources non officielles – qu’il s’agisse d’un document dans un e-mail d’un expéditeur inconnu, d’un programme piraté d’un portail de téléchargement de poisson ou d’un fichier d’un téléchargement torrent », les chercheurs a écrit.
ReasonLabs a également noté que les acteurs de la menace déployaient de plus en plus des mineurs de cryptographie déguisés en applications ou fichiers populaires et trompaient de nombreux utilisateurs pour qu’ils les téléchargent afin de faire plus de victimes.
Jake Williams, co-fondateur et directeur technique de BrècheQuest, a noté que les mineurs de crypto étaient un moyen facile pour les criminels d’encaisser, ce qui en fait la charge utile de choix de nombreux criminels.
« Les acteurs de la menace ont longtemps utilisé les torrents comme mécanisme de distribution de logiciels malveillants, en fait bien avant que les mineurs de crypto ne soient une chose », a déclaré Williams. « Un torrent trojanisé ne profite pas à l’acteur menaçant si personne ne le télécharge, nous devons donc nous attendre à continuer de voir des acteurs malveillants capitaliser sur le dernier battage médiatique. »
Tim Wade, directeur technique, équipe CTO chez Vectra, a suggéré que les mineurs de crypto étaient plus attrayants pour les criminels moins expérimentés.
« La distribution de charges utiles malveillantes en tant que petit bonus supplémentaire associé à des services de partage de médias illégitimes est une tradition séculaire qui remonte à aussi loin que je me souvienne. Le fait que la soupe du jour d’aujourd’hui inclue des mineurs de crypto n’est que le reflet des préférences de monétisation actuelles des vauriens du présent.
