Cette opération de prise en otage de la puissance de calcul des ordinateurs des victimes à des fins de minage de crypto-monnaie est semble t-il en activité depuis le mois d’août. Le pic d’activité à été repéré en septembre. Les victimes téléchargent le mineur XMRig à leur insu. Le logiciel malveillant fonctionne en arrière-plan et utilise discrètement la puissance du PC infecté pour miner du Monero. Pour les hackers, pas pour vous.

La fausse campagne de mise à jour Flash a été détaillée par des chercheurs de Palo Alto Networks qui l’ont découverte en cherchant des noms de fichiers exécutables Windows commençant par’AdobeFlashPlayer__’ à partir de serveurs Web basés sur le cloud. Des serveurs qui ne sont pas des serveurs Adobe.

Les fausses mises à jour sont livrées aux victimes via des fenêtres contextuelles sur le Web et utilisent une visuels d’apparence authentique pour augmenter les chances d’un téléchargement et tromper les internautes.

Si une victime clique sur le bouton de téléchargement, l’utilisateur reçoit un avertissement à propos de l’installation d’un logiciel d’un éditeur inconnu – quelque chose qui devrait être un avertissement suffisant. Mais si cet avertissement est ignoré, le malware est secrètement téléchargé sur le système, sans que rien n’indique que cette action a lieu. Et les pirates poussent le vice plus loin encore.

Habile stratagème

En plus de livrer le malware, l’installateur télécharge également une mise à jour Flash Player à partir d’Adobe et utilise des fenêtres réelles à partir d’installations réelles, ce qui conduit l’utilisateur vers une page qui le remercie d’avoir installé Flash Player. “Cette campagne utilise une activité légitime pour y cacher la distribution de cryptojackers et d’autres programmes indésirables” explique Brad Duncan, analyste du renseignement sur les menaces chez Palo Alto Networks.

Une fois actif sur le système, le mineur exploite la puissance de traitement de la machine pour générer du Monero et livre tous les gains récolté dans un porte-monnaie de cryptomonnaie.

Il est fort probable que l’utilisateur ne soupçonnera jamais que son système a été compromis, car ces mineurs sont conçus pour opérer secrètement en arrière-plan – et il n’est pas dans l’intérêt du mineur de se révéler, car cela risquerait de compromettre son stratagème.

Les attaques de piratage cryptographique sont devenues si populaires auprès des cybercriminels qu’elles ont dépassé les ransomware comme moyen de réaliser des profits. Une entreprise sur trois a été victime de l’extraction de logiciels malveillants estiment certains analystes.

Les utilisateurs peuvent tenter d’éviter d’être victimes de l’extraction de logiciels malveillants en s’assurant qu’ils ne téléchargent que des fichiers provenant de sources fiables.