un nouveau cryptomineur provoque le plantage du systme de ses victimes lorsqu’on le force se fermer


Le cryptojacking consiste utiliser secrtement les ressources dun dispositif autre que le sien afin de miner de la monnaie cryptographique. Ce concept est n en septembre dernier lorsque CoinHive a propos un script pour le minage des devises virtuelles. Il oblige en gnral les attaquants recourir un cryptomineur, un malware exploitant la puissance de calcul de la machine de ses victimes pour miner des cryptomonnaies (monero en loccurrence).

Plus longtemps le cryptomineur reste actif sur un systme, plus la somme engrange par lattaquant sera importante. Partant de ce constat, on pouvait dores et dj supposer que le nombre dattaques par cryptojacking irait croissant dans le futur et quelles deviendraient encore plus sophistiques afin de rendre la dtection et la suppression des cryptomineurs par les antivirus toujours plus difficile.

Un cryptomineur dun genre nouveau bas sur XMRig vient dtre dcouvert par des chercheurs de Qihoo 360, une entreprise chinoise de scurit informatique qui commercialise lantivirus  360 Total Security . Il utilise la puissance de calcul des machines de ses victimes pour miner la cryptomonnaie monero. Ce malware baptis  WinstarNssmMiner  a la particularit dentrainer le crash du systme lorsquun antivirus tente de le neutraliser et aurait dj infect prs de 500 millions dinternautes.

 WinstarNssmMiner  dmarre le processus Service Host (svchost.exe) qui est utilis sur diffrents systmes dexploitation Windows pour grer les services de lOS excuts partir de bibliothques dynamiques. Rappelons que le processus svchost.exe vrifie le registre pour des services chargeant un fichier .dll et les lancent. Il y a gnralement plusieurs processus svchost.exe qui sont actifs au mme moment, chacun deux reprsentant un groupe de services essentiels sexcutant sur la machine.

 WinstarNssmMiner  va modifier le Registre Windows de manire ce que svchost.exe charge son fichier .dll et se camoufler derrire le processus svchost.exe quil a initi pour lancer ses oprations de minage de cryptomonnaies et de surveillance du systme. Il va par la suite modifier ses attributs en se faisant passer pour un processus critique indispensable au fonctionnement du systme, ce qui lui permet de dclencher le plantage du systme chaque fois quon essayera de le fermer de force.

Ce malware aurait tendance vrifier les systmes sur lesquels il est prsent afin de dtecter la prsence dun ventuel antivirus. Daprs 360 Total Security, si lantivirus trouv est une  solution dcente  offerte par des socits rputes comme Kaspersky Lab, WinstarNssmMiner partira de lui-mme. Mais si au contraire il ne dtecte aucun antivirus digne de ce nom, il sinstallera et dmarrera ses activits malveillantes.

Source : Blog 360 Total Security

Et vous ?

Quen pensez-vous ?

Voir aussi

Opera 50 va proposer aux utilisateurs une protection native contre le cryptojacking intgre dans son bloqueur de pub
Cryptojacking : les datacenters et les infrastructures cloud pourraient tre les prochaines cibles des cybercriminels, selon une tude Bitdefender
Les scripts de cryptojacking pourraient profiter d’une nouvelle fonctionnalit de Word afin de miner de la cryptomonnaie

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *