Depuis plusieurs mois, les cryptomonnaies sont en plein essor. Les prix ont grimpé en flèche, ce qui signifie qu’elles ont de plus en plus de valeur pour les utilisateurs légitimes et les pirates informatiques.
Pour gagner de l’argent sur leurs exploits, les pirates ont ajouté des malwares aux jeux piratés. Le malware, nommé Crackonosh, utilise les ressources de l’ordinateur d’un utilisateur pour générer de la cryptomonnaie pour l’attaquant.
On recommande toujours aux utilisateurs de ne pas utiliser des logiciels piratés, mais beaucoup d’entre eux ne tiennent pas compte des avertissements et téléchargent des logiciels piratés sans penser que cela pourrait impliquer des risques élevés.
Des jeux populaires trafiqués minent du Monero
Lorsque les attaquants ajoutent leurs propres malwares, ils prennent souvent des jeux légitimes et enveloppent l’installation de leur propre code. Le programme d’installation ajoute le logiciel légitime, mais aussi un malware qui fonctionne en arrière-plan.
Avec Crackonosh, le programme d’installation ajoute une application de minage nommée XMRig. L’application minière est légitime, mais la méthode pour l’utiliser ne l’est pas.
L’application XMRig utilise les ressources de l’ordinateur pour extraire la cryptomonnaie populaire Monero. Elle est cachée dans des jeux populaires tels que Grand Theft Auto V, NBA 2K19 et Pro Evolution Soccer 2018. Les chercheurs ont constaté que le malware a été téléchargé principalement à partir de sites de forums, mais il peut être hébergé n’importe où sur Internet.
L’extraction de millions de cryptomonnaies nécessite plus d’un ordinateur, c’est pourquoi les attaquants ont diffusé les fichiers exécutables malveillants à autant d’utilisateurs que possible. On estime que 222 000 appareils sont infectés en décembre 2020, et les attaquants ont récolté un peu plus de 2 millions de dollars en cryptomonnaie Monero.
Les régions les plus touchées sont les Phillippines, le Brésil, l’Inde, la Pologne, les États-Unis et le Royaume-Uni.
Mode d’infection et désactivation de l’antivirus
Les malwares distribués selon cette méthode commencent généralement par ce qui ressemble à un programme d’installation légitime. Avec Crackonosh, le programme d’installation pointe vers un fichier nommé maintenance.vbs ; un script personnalisé qui lance le programme d’installation qui, à son tour, exécute le fichier serviceinstaller.exe.
Le logiciel XMRig s’installe en utilisant l’exécutable final serviceinstaller.exe en le téléchargeant sur Internet.
Comme la plupart des malwares, Crackonosh présente différentes variantes pour éviter d’être détecté par les logiciels antivirus, mais il tente également de désactiver les applications antivirus exécutées sur l’appareil. Si l’appareil fonctionne sous Windows, le malware tente de désactiver Windows Defender, qui est l’application antimalware incluse dans le système d’exploitation.
Crackonosh ne se contente pas de désactiver l’antivirus et Windows Defender, il crée et stocke une icône dans la barre d’état du système Windows pour faire croire aux utilisateurs que leur système antivirus est toujours en cours d’exécution. Il désactive également toute mise à jour automatique afin que le système antimalware ne puisse pas être réactivé.
Prévention de Crackonosh sur votre ordinateur
Bien que Crackonosh se propage principalement sur les forums Internet, il peut être diffusé de différentes manières par un attaquant qui peut inciter les utilisateurs à exécuter le faux programme d’installation. Il peut être envoyé dans un courrier électronique malveillant, inclus dans des macros de documents et lié à d’autres messages.
Comme le malware est caché dans du contenu piraté, il se propage principalement sur les forums qui proposent des liens vers des logiciels piratés distribués.
Crackonosh utilise des ressources, qu’il s’agisse d’un appareil privé ou professionnel. Les particuliers pourraient voir leur facture d’électricité augmenter lorsque XMRig fonctionne en permanence sur les appareils de la maison, mais ce sont les entreprises qui pourraient en souffrir le plus si plusieurs machines sont victimes du malware.
L’antivirus étant désactivé, les administrateurs ne se rendront pas compte que l’appareil est compromis.
Les administrateurs peuvent bloquer les exécutables malveillants susceptibles de contenir Crackonosh de deux manières : bloquer l’accès au contenu en se basant sur les recherches de DNS et de domaines, et filtrer les e-mails suspects à l’aide de filtres de cybersécurité.
Les filtres de cybersécurité sont le meilleur moyen de bloquer les messages électroniques malveillants. Ces systèmes détectent de nombreuses attaques telles que le phishing, les en-têtes usurpés, les liens vers des sites contrôlés par des attaquants et les pièces jointes malveillantes.
Les filtres de contenu aident également à lutter contre les malwares. Les filtres de contenu basés sur les consultations DNS empêchent les navigateurs des utilisateurs d’accéder à des sites malveillants.
Si un attaquant contourne les filtres de messagerie, les filtres de contenu Web interdisent l’accès à un site malveillant si l’utilisateur se laisse prendre au piège et clique sur un lien vers un forum hébergeant le malware Crackonosh ou tout autre programme malveillant susceptible d’endommager un appareil local.
Les deux défenses de cybersécurité fonctionnent bien ensemble pour empêcher l’accès des programmes malveillants aux appareils des utilisateurs.
Bien entendu, ces derniers doivent toujours être formés pour éviter les sites de téléchargement de logiciels piratés, mais l’utilisation des défenses de cybersécurité pour bloquer les e-mails et les sites Web malveillants ajoute une couche de protection aux appareils des utilisateurs finaux et à l’ensemble de votre environnement réseau.
La formation des utilisateurs est toujours nécessaire, mais la cybersécurité des e-mails et du contenu Web est indispensable pour éviter les erreurs humaines. Vous ne pouvez pas réduire complètement tous les risques, mais vous pouvez ajouter des couches de cybersécurité qui aideront à protéger vos appareils.
Prenez de l’avance sur le paysage des menaces en constante évolution et soyez à l’abri des attaques cybercriminelles grâce à la sécurité multicouche de TitanHQ.
Le filtre DNS WebTitan élimine le contenu malveillant à la source, tandis que la protection des e-mails, SpamTitan, bloque : 99,9 % :
- Des spams,
- Des attaques de phishing,
- Des attaques de spoofing,
- Des attaques de malwares,
- Des attaques de ransomwares,
- D’autres menaces lancées via la messagerie électronique.
Commencez votre essai gratuit dès aujourd’hui et découvrez l’efficacité de nos filtres web en moins d’une heure.