Un malware mineur utilisant des failles de la NSA se répand sur le web

Le minage de crypto-monnaies peut se révéler être très profitable, mais nécessite de grandes ressources énergiques et informatiques. 

Un nouveau virus informatique dont le but est de miner des crypto-monnaies sur la machine infectée se répand sur le net. Et pas n’importe comment, car c’est à travers de certaines failles de la NSA que ce dernier opère.

Pas la première fois

D’après la firme spécialisée dans les antivirus Trend Micro, le virus nommé CoinMiner exploiterait un composant des ordinateurs et serveurs nommé Windows Managment Instrumentation (WMI). C’est un composant des PC utilisé pour la gestion des tâches comme l’analyse de l’espace mémoire, et permettant de lire des scripts comme ceux codés en VBscript. Mais ce n’est pas tout, car le malware utilise EternalBlue pour se propager, un outil développé par la NSA pour pirater les ordinateurs, et qui avait fuité par la suite. C’est le même outil qui était utilisé par le Cryptolocker WannaCry pour se propager.

Windows avait corrigé cette faille en urgence et était même allé jusqu’à proposer un correctif sur Windows XP alors qu’il n’est normalement plus supporté. Malheureusement, une partie des ordinateurs n’ont toujours pas étés mis à jour. Une fois installé sur l’hôte, ce dernier active une porte dérobée, installe des scripts WMI pour se connecter à un serveur, puis récolte les informations et fichiers nécessaires au minage avant de rentrer en action.

[ad type=custom-ad-1]

Une détection toujours plus difficile

L’utilisation combinée de scripts WMI sans fichiers et d’Eternal Blue, rend la détection bien plus difficile que la normale. Les virus dits « sans fichiers », ainsi que l’exploitation de processus Windows légitimes deviennent de plus en plus courants chez les hackeurs, afin de rester un maximum dans l’ombre.

Les virus mineurs ne sont cependant pas nouveaux. En mai déjà, un virus de même type minant du Monero était passé sous les projecteurs pour avoir malgré lui aidé à stopper le virus WannaCry en bloquant un port des ordinateurs infectés .

Il est à noter que Coinminer a été conçu exclusivement pour Windows. Pour évitez les infections, pensez a garder un système à jour, et si possible désactiver WMI.

[ad type=custom-ad-1]