L’utilisation de fausses mises à jour logicielles pour répandre des logiciels malveillants n’est pas une nouveauté, mais une nouvelle campagne de programmes malveillants a été détectée, qui est quelque peu différente. Les fausses mises à jour d’Adobe Flash sont poussées qui mettent effectivement à jour la version Flash de l’utilisateur, bien qu’avec un ajout non désiré du mineur de cryptomonnaie XMRig sur le côté.
La campagne utilise des notifications pop-up qui sont une réplique exacte des notifications authentiques utilisées par Adobe, informant l’utilisateur que leur version Flash doit être mise à jour. En cliquant sur le bouton d’installation, comme pour les notifications authentiques, vous mettrez à jour le Flash des utilisateurs avec la dernière version. Cependant, en arrière-plan, le mineur de cryptomonnaie XMRig est également téléchargé et installé.
Une fois installé, XMRig s’exécutera silencieusement en arrière-plan, à l’insu de l’utilisateur.
La campagne a été détectée par les chercheurs en sécurité de l’équipe de l’Unité 42 du Réseau Palo Alto. Les chercheurs ont identifié plusieurs fichiers exécutables Windows qui commençaient avec AdobeFlashPlayer et qui étaient hébergés sur des serveurs cloud non contrôlés par Adobe.
Une analyse du trafic réseau pendant le processus d’infection a révélé que la majeure partie du trafic était liée à la mise à jour d’Adobe Flash à partir d’un domaine contrôlé par Adobe, mais qu’il a rapidement évolué vers un trafic via un domaine associé à des installateurs connus pour pousser des mineurs de cryptomonnaie. Le trafic a ensuite été identifié sur le port TCP 14444 qui était associé au mineur de cryptomonnaie XMRig.
Une analyse plus poussée de la campagne a révélé qu’elle est en cours depuis la mi-août, l’activité ayant considérablement augmenté en septembre lorsque les fausses mises à jour Adobe Flash ont commencé à être distribuées plus largement.
Il est peu probable que les utilisateurs finaux détectent le téléchargement et l’installation du mineur de cryptomonnaie XMRig, mais il est probable qu’il y ait un ralentissement notable dans la vitesse de leur ordinateur. L’installation du mineur de cryptomonnaie XMRig peut être furtive, mais lorsqu’il fonctionne, il utilise presque tout le CPU de l’ordinateur pour l’extraction de cryptomonnaie.
Tout utilisateur qui vérifie le Gestionnaire des tâches verra Explorer.exe monopoliser son CPU. Comme avec la plupart des mineurs de cryptomonnaie, XMRig exploite Monero. Ce que l’on ne sait pas actuellement, c’est quels sites web distribuent les fausses mises à jour Adobe Flash, ou comment le trafic est généré vers ces sites.
Toute notification de mise à jour d’un logiciel qui s’affiche lorsque vous naviguez sur Internet doit être considérée comme suspecte. La fenêtre devrait être fermée et le site web officiel de ce fournisseur de logiciel devrait être visité pour déterminer si une mise à jour est nécessaire. Les mises à jour logicielles ne doivent être téléchargées qu’à partir de sites Web officiels, dans le cas d’Adobe Flash, c’est-à-dire Adobe.com.
Les chercheurs de Palo Alto notent que « les organisations disposant d’un filtrage web décent et d’utilisateurs avertis ont un risque d’infection beaucoup plus faible grâce à ces fausses mises à jour ».