Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (31)
  • Ajouter aux favoris
    Ajouter aux favoris

Les conflits du mining

Lu par: 22015 Commentaires: 3 Cote de popularité: 9

mercredi 21 mars 2018

Le thème des cryptomonnaies reste un sujet tendance puisque beaucoup de gens tentent toujours de faire fortune grâce au mining. Et tandis que le nombre de nouveaux échantillons de ransomwares à chiffrement découverts reste sensiblement le même, de nouvelles applications de mining voient le jour régulièrement. Ceci a pour résultat inévitable un conflit autour des morceaux du « gâteau » que représentent les ressources système nécessaires au mining, ce qui signifie qu’un seul miner peut être au sommet.

Comment les applications de mining malveillantes éliminent-elles leurs concurrentes ?

Après une installation réussie, le malware (Trojan.Starter.7554, Trojan.BtcMine.2369 – un article de « Lumières sur la Sécurité ») compile une liste de processus en cours d’exécution et termine ceux qui utilisent une part importante de CPU ; ces processus incluent ces applications de mining :

Silence Carbon xmrig32 nscpucnminer64 cpuminer xmr86 xmrig xmr

Avant l’infection du système, le script détermine quel type de CPU est utilisé dans le système (32-bits ou 64-bits) et télécharge les fichiers malveillants correspondants.

https://www.securitylab.ru/news/491904.php

Il est intéressant de noter que les fichiers des applications hpdriver.exe et hpw64 sont « déguisés » comme des drivers de périphérique HP.

Mais que fait un programme voyou si une application de mining légitime a été installée par un utilisateur et est cours d’exécution dans le système infecté ? Naturellement, il va la reconfigurer.

Des chercheurs en sécurité d’IBM ont découvert que le Cheval de Troie TrickBot (Trojan.Trick.45194) utilise des injections web pour modifier l’adresse du portefeuille et redirige ainsi les paiements vers le portefeuille des pirates.

https://www.securitylab.ru/news/491897.php

Pendant ce temps, les Trojans Android utilisent un vieux « truc » - ils affichent une fausse fenêtre de dialogue au-dessus des applis légitimes et leurrent les utilisateurs.

Certaines familles de Trojans, comme ExoBot, BankNot, Marcher et Mazar (Android.Banker.165.origin et d’autres) peuvent trouver quelles applications sont actuellement en cours d’exécution sur un appareil et afficher une fausse fenêtre sur l’interface d’une appli. Les faux éléments UI peuvent être codés en dur dans les Trojans ou téléchargés. D’après IBM, les Trojans utilisent cette technique pour voler des fonds en Bitcoin, Cash, Ethereum, Litecoin, Monero et d’autres cryptomonnaies.

https://www.securitylab.ru/news/491897.php

Payer en cryptomonnaie peut également s’avérer hasardeux.

Des chercheurs en sécurité ont découvert le nouveau malware ComboJack (une suite logicielle malveillante complète incorporant plusieurs programmes dont le Trojan.ClipSpy.25) qui est capable de détecter si une adresse de portefeuille de cryptomonnaie a été copiée dans le presse-papier Windows et de l’échanger par l’adresse du portefeuille des pirates.

D’après Palo Alto Networks, ComboJack est capable de détecter l’apparition d’une adresse dans le presse-papier. Et en plus de voler des cryptomonnaies comme Bitcoin, Litecoin, Ethereum et Monero, il peut également voler de l’argent d’adresses appartenant à des systèmes de paiement comme Qiwi, Yandex.Money et WebMoney (en roubles et en dollars).

Le schéma de diffusion du Trojan est relativement complexe : les attaquants envoient des emails à des victimes potentielles qui sont sensés contenir des copies scannées des ID perdus de ces victimes. Les emails viennent avec un document PDF en pièce jointe.

Si l’utilisateur télécharge et ouvre le fichier, un fichier RTF s’ouvre dans Microsoft Word. Le document inclut un élément HTA qui tente d’exploiter la vulnérabilité DirectX CVE-2017-8579.

https://www.anti-malware.ru/news/2018-03-06-1447/25668

Le projet Lumières sur la sécurité recommande

De nombreux utilisateurs pensent que les antivirus installés sur les PC sur lesquels sont exécutées des applications de mining font plus de mal que de bien (après tout, ils font baisser leurs performances !). Mais sans protection antivirus, les utilisateurs peuvent finir par perdre tout ce qu’ils ont récolté et se retrouver avec seulement une facture d’électricité à payer. Configurer correctement l’antivirus semble être une meilleure solution.

Ajoutez les fichiers que vous ne voulez pas voir scannés par l’antivirus aux exclusions.

Pour ajouter votre appli de mining à la liste des exclusions, cliquez sur l’icône #drweb (qui va apparaître comme ceci : #drweb) , puis cliquez sur l’icône #drweb, et allez à Paramètres -> Exclusions.

#drweb

Important ! Il est recommandé de ne pas exclure le trafic des applications du scan. Car si un programme télécharge un malware, l’antivirus ne sera pas en mesure de le détecter pendant le téléchargement.

#drweb

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires