La société de cybersécurité Darktrace a identifié une nouvelle campagne de cryptojacking conçue pour contourner Windows Defender et déployer un logiciel de crypto mining.
Résumé
Darktrace a identifié une campagne de cryptojacking qui cible les systèmes Windows.
La campagne consiste à déployer discrètement le NBminer pour miner des crypto-monnaies.
La campagne de cryptojacking, identifiée pour la première fois fin juillet, implique une chaîne d'infection multi-étapes qui détourne discrètement la puissance de traitement d'un ordinateur pour miner des crypto-monnaies, ont expliqué les chercheurs de Darktrace Keanna Grelicha et Tara Gould dans un rapport partagé avec crypto.news.
Selon les chercheurs, la campagne cible spécifiquement les systèmes Windows en exploitant PowerShell, l’interface de ligne de commande intégrée et le langage de script de Microsoft, grâce auquel des acteurs malveillants peuvent exécuter des scripts malveillants et obtenir un accès privilégié au système hôte.
Ces scripts malveillants sont conçus pour s'exécuter directement dans la mémoire du système (RAM) et, par conséquent, les outils antivirus traditionnels qui s'appuient généralement sur l'analyse des fichiers sur les disques durs d'un système ne parviennent pas à détecter le processus malveillant.
Par la suite, les attaquants utilisent le langage de programmation AutoIt, qui est un outil Windows généralement utilisé par les professionnels de l'informatique pour automatiser des tâches, pour injecter un chargeur malveillant dans un processus Windows légitime, qui télécharge ensuite et exécute un programme de crypto mining sans laisser de traces évidentes sur le système.
Comme ligne de défense supplémentaire, le chargeur est programmé pour effectuer une série de contrôles de l'environnement, tels que la recherche de signes d'un environnement sandbox et l'inspection de l'hôte pour les produits antivirus installés.
L'exécution ne se poursuit que si Windows Defender est la seule protection active. De plus, si le compte utilisateur infecté n'a pas de privilèges administratifs, le programme tente de contourner le contrôle de compte utilisateur pour obtenir un accès élevé.
Lorsque ces conditions sont remplies, le programme télécharge et exécute le NBMiner, un outil de crypto mining bien connu qui utilise l'unité de traitement graphique d'un ordinateur pour miner des cryptomonnaies telles que Ravencoin (RVN) et Monero (XMR).
Dans ce cas, Darktrace a pu contenir l'attaque en utilisant son système de réponse autonome en "prévenant l'appareil de faire des connexions sortantes et en bloquant des connexions spécifiques vers des points de terminaison suspects."
« Alors que la cryptomonnaie continue de gagner en popularité, comme en témoigne la valorisation élevée continue de la capitalisation boursière mondiale des cryptomonnaies ( presque 4 trillions USD au moment de la rédaction ), les acteurs malveillants continueront de considérer le crypto mining comme une entreprise rentable », ont écrit les chercheurs de Darktrace.
Campagnes de cryptojacking via l'ingénierie sociale
En juillet, Darktrace a signalé une campagne distincte où des acteurs malveillants utilisaient des tactiques complexes d'ingénierie sociale, telles que l'imitation de véritables entreprises, pour tromper les utilisateurs afin qu'ils téléchargent un logiciel modifié déployant un malware de vol de crypto.
Contrairement au schéma de cryptojacking mentionné précédemment, cette approche ciblait à la fois les systèmes Windows et macOS et était exécutée par des victimes non conscientes qui croyaient interagir avec des initiés de l'entreprise.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Darktrace signale une nouvelle campagne de cryptojacking capable de contourner Windows Defender
La société de cybersécurité Darktrace a identifié une nouvelle campagne de cryptojacking conçue pour contourner Windows Defender et déployer un logiciel de crypto mining.
Résumé
La campagne de cryptojacking, identifiée pour la première fois fin juillet, implique une chaîne d'infection multi-étapes qui détourne discrètement la puissance de traitement d'un ordinateur pour miner des crypto-monnaies, ont expliqué les chercheurs de Darktrace Keanna Grelicha et Tara Gould dans un rapport partagé avec crypto.news.
Selon les chercheurs, la campagne cible spécifiquement les systèmes Windows en exploitant PowerShell, l’interface de ligne de commande intégrée et le langage de script de Microsoft, grâce auquel des acteurs malveillants peuvent exécuter des scripts malveillants et obtenir un accès privilégié au système hôte.
Ces scripts malveillants sont conçus pour s'exécuter directement dans la mémoire du système (RAM) et, par conséquent, les outils antivirus traditionnels qui s'appuient généralement sur l'analyse des fichiers sur les disques durs d'un système ne parviennent pas à détecter le processus malveillant.
Par la suite, les attaquants utilisent le langage de programmation AutoIt, qui est un outil Windows généralement utilisé par les professionnels de l'informatique pour automatiser des tâches, pour injecter un chargeur malveillant dans un processus Windows légitime, qui télécharge ensuite et exécute un programme de crypto mining sans laisser de traces évidentes sur le système.
Comme ligne de défense supplémentaire, le chargeur est programmé pour effectuer une série de contrôles de l'environnement, tels que la recherche de signes d'un environnement sandbox et l'inspection de l'hôte pour les produits antivirus installés.
L'exécution ne se poursuit que si Windows Defender est la seule protection active. De plus, si le compte utilisateur infecté n'a pas de privilèges administratifs, le programme tente de contourner le contrôle de compte utilisateur pour obtenir un accès élevé.
Lorsque ces conditions sont remplies, le programme télécharge et exécute le NBMiner, un outil de crypto mining bien connu qui utilise l'unité de traitement graphique d'un ordinateur pour miner des cryptomonnaies telles que Ravencoin (RVN) et Monero (XMR).
Dans ce cas, Darktrace a pu contenir l'attaque en utilisant son système de réponse autonome en "prévenant l'appareil de faire des connexions sortantes et en bloquant des connexions spécifiques vers des points de terminaison suspects."
« Alors que la cryptomonnaie continue de gagner en popularité, comme en témoigne la valorisation élevée continue de la capitalisation boursière mondiale des cryptomonnaies ( presque 4 trillions USD au moment de la rédaction ), les acteurs malveillants continueront de considérer le crypto mining comme une entreprise rentable », ont écrit les chercheurs de Darktrace.
Campagnes de cryptojacking via l'ingénierie sociale
En juillet, Darktrace a signalé une campagne distincte où des acteurs malveillants utilisaient des tactiques complexes d'ingénierie sociale, telles que l'imitation de véritables entreprises, pour tromper les utilisateurs afin qu'ils téléchargent un logiciel modifié déployant un malware de vol de crypto.
Contrairement au schéma de cryptojacking mentionné précédemment, cette approche ciblait à la fois les systèmes Windows et macOS et était exécutée par des victimes non conscientes qui croyaient interagir avec des initiés de l'entreprise.