Darktrace signale une nouvelle campagne de cryptojacking capable de contourner Windows Defender. Campagnes de cryptojacking via l’ingénierie sociale.

La société de cybersécurité Darktrace a identifié une nouvelle campagne de cryptojacking conçue pour contourner Windows Defender et déployer un logiciel de minage de cryptomonnaies.

La campagne de cryptojacking, identifiée pour la première fois fin juillet, implique une chaîne d'infection en plusieurs étapes qui détourne discrètement la puissance de traitement d'un ordinateur pour miner des cryptomonnaies, ont expliqué les chercheurs de Darktrace, Keanna Grelicha et Tara Gould, dans un rapport partagé avec crypto.news.

Selon les chercheurs, la campagne cible spécifiquement les systèmes basés sur Windows en exploitant PowerShell, l'interpréteur de commandes et langage de script intégré de Microsoft, à travers lequel les acteurs malveillants peuvent exécuter des scripts malveillants et obtenir un accès privilégié au système hôte.

Ces scripts malveillants sont conçus pour s'exécuter directement en mémoire (RAM) et, par conséquent, les outils antivirus traditionnels qui s'appuient généralement sur l'analyse des fichiers présents sur les disques durs du système ne peuvent pas détecter le processus malveillant.

Par la suite, les attaquants utilisent le langage de programmation AutoIt, un outil Windows généralement utilisé par les professionnels IT pour automatiser des tâches, afin d'injecter un chargeur malveillant dans un processus Windows légitime, qui télécharge ensuite et exécute un programme de minage de cryptomonnaies sans laisser de traces évidentes sur le système.

En guise de ligne de défense supplémentaire, le chargeur est programmé pour effectuer une série de vérifications de l'environnement, telles que la recherche d'indices d'un environnement sandbox et l'inspection de l'hôte pour détecter la présence de produits antivirus installés.

L'exécution ne se poursuit que si Windows Defender est la seule protection active. De plus, si le compte utilisateur infecté ne dispose pas de privilèges administratifs, le programme tente de contourner le contrôle de compte utilisateur afin d'obtenir un accès élevé.

Lorsque ces conditions sont remplies, le programme télécharge et exécute NBMiner, un outil de minage de cryptomonnaies bien connu qui utilise le processeur graphique de l'ordinateur pour miner des cryptomonnaies telles que Ravencoin (RVN) et Monero (XMR).

Dans ce cas, Darktrace a pu contenir l'attaque grâce à son système de réponse autonome en « empêchant l'appareil d'établir des connexions sortantes et en bloquant certaines connexions vers des points de terminaison suspects ».

« À mesure que la cryptomonnaie continue de gagner en popularité, comme en témoigne la valorisation élevée et continue de la capitalisation boursière mondiale des cryptomonnaies (près de 4 trillions de dollars au moment de la rédaction), les acteurs malveillants continueront de considérer le minage de cryptomonnaies comme une activité lucrative », ont écrit les chercheurs de Darktrace.

Campagnes de cryptojacking via l'ingénierie sociale

En juillet dernier, Darktrace a signalé une autre campagne où des acteurs malveillants utilisaient des tactiques complexes d'ingénierie sociale, telles que l'usurpation d'identité de véritables entreprises, pour tromper les utilisateurs et les inciter à télécharger des logiciels modifiés qui déploient des malwares voleurs de cryptomonnaies.

Contrairement au schéma de cryptojacking mentionné précédemment, cette approche ciblait à la fois les systèmes Windows et macOS et était exécutée par les victimes elles-mêmes, qui pensaient interagir avec des membres internes de l'entreprise.