Attention aux cryptomineurs si vous téléchargez le dernier Spiderman en torrent

La société de cybersécurité ReasonLabs prévient : attention aux mineurs de cryptomonnaies si vous préférez télécharger Spider-Man: No Way Home en torrent plutôt que d’aller le voir au cinéma.

Dans un nouveau rapport, l’équipe de recherche de ReasonLabs affirme avoir trouvé des mineurs de Monero attachés à des fichiers torrent russes du nouveau film, qui a rapporté plus de 750 millions de dollars dans le monde depuis sa sortie la semaine dernière.

Le mineur ajoute des exclusions à Windows Defender, crée une persistance et génère un processus de surveillance pour maintenir son activité, selon ReasonLabs. « Le malware n’est pas signé et écrit en .net. A ce jour, il n’est pas présent dans Virus Total. Le malware tente de rester à l’abri des regards, en utilisant des noms “légitimes” pour les fichiers et les processus qu’il crée. Nous vous recommandons de faire preuve d’une grande prudence lorsque vous téléchargez du contenu, quel qu’il soit, à partir de sources non officielles, qu’il s’agisse d’un document dans un courriel provenant d’un expéditeur inconnu, d’un programme piraté sur un portail de téléchargement douteux ou d’un fichier provenant d’un torrent », explique l’équipe.

Le malware Spiderman, une réédition d’un malware déjà connu

« Une précaution facile à prendre est de toujours vérifier que l’extension du fichier correspond au fichier que vous attendez, par exemple, dans ce cas, un fichier vidéo doit se terminer par “.mp4” et non par “.exe”. Essayez de rassembler des informations sur le fichier, et réfléchissez toujours à deux fois avant de double-cliquer dessus. Pour être sûr de voir l’extension réelle du fichier, ouvrez un dossier, allez dans “Affichage” et cochez “Extensions de nom de fichier”. Vous serez ainsi sûr de voir le type de fichier complet. »

Les chercheurs ajoutent que, bien que le malware ne compromette pas les informations personnelles, les cryptomineurs causent d’autres types de dommages. Les victimes du malware verront leur facture d’électricité augmenter et les chercheurs notent que le mineur fonctionne pendant de longues périodes, ralentissant votre appareil tout en nécessitant une utilisation élevée du CPU.

Interrogée sur la façon dont elle a découvert le cryptomineur, l’équipe de ReasonLabs a expliqué à ZDNet qu’elle a accumulé au fil des ans une importante base de données de logiciels malveillants qui lui permet de rechercher leurs origines, de les signaler et de les recouper avec d’autres bases de données, comme Virus Total.

Un de leurs utilisateurs a téléchargé ce fichier Spider-Man: No Way Home et il a été signalé dans leur base de données comme une nouvelle menace. Ils ne savent pas combien de fois le fichier a été téléchargé, mais ils notent qu’il existe depuis un certain temps.

Le malware Spiderman est en fait une nouvelle “édition” d’un malware déjà connu qui était déguisé en diverses applications populaires dans le passé, telles que “Windows Updater”, “Discord App”, et maintenant le dernier film Spiderman. Cela suggère qu’il a été beaucoup téléchargé. « Personne d’autre n’a identifié cette “édition” du malware », précise l’équipe.

Le torrent, un mécanisme de distribution de logiciels malveillants

Jake Williams, directeur technique de BreachQuest, rappelle que les acteurs de la menace utilisaient les torrents comme mécanisme de distribution de logiciels malveillants bien avant l’apparition des cryptomonnaies. « Je me souviens avoir vu une vague de pirates compromettre des victimes avec des économiseurs d’écran célébrant la carrière de Whitney Houston à la suite de son décès. Les cryptomonnaies étant le moyen le plus facile pour les cybercriminels d’encaisser de l’argent, il n’est pas surprenant qu’ils les utilisent comme charge utile de choix pour leurs logiciels malveillants. »

Sean Nikkel, de Digital Shadows, fait remarquer que de nombreux membres de la génération X et des Millenials se souviennent probablement de l’époque où ils téléchargeaient des fichiers au hasard auprès d’inconnus sur Kazaa et Limewire, à la recherche de fichiers MP3 ou de vidéos rares ou gratuites, et se retrouvaient avec un cheval de Troie ou d’autres malveillances similaires.

Selon lui, cette tactique s’est étendue au monde du torrent. Outre les logiciels malveillants attachés à des films ou des émissions populaires, la même chose se produit avec des applications populaires comme celles d’Adobe, de Microsoft ou des programmes musicaux spécialisés comme Ableton ou Fruity Loops, qui sont eux-mêmes souvent piratés. « Parfois, les générateurs de clés eux-mêmes étaient malveillants ou l’exécutable de l’application. Beaucoup d’employés de bureau cherchant à faire des économies ou à utiliser des programmes qu’ils connaissaient bien sur leur ordinateur professionnel ont couru le risque de télécharger des versions “gratuites” ou hébergées sur de mauvais sites, et ont fini par se faire griller », raconte Sean Nikkel.

Casey Ellis, directeur technique de Bugcrowd, explique que, du point de vue des cybercriminels, l’utilisation d’un système de distribution où les utilisateurs sont moins susceptibles de demander une « assistance technique » si quelque chose ne va pas, ou même d’admettre à leurs proches que leur ordinateur se comporte bizarrement, augmente les chances que le malware s’exécute d’abord et, une fois qu’il s’exécute, réduit le risque qu’il soit découvert et supprimé.

ReasonLabs précise être toujours en train de rechercher les origines du mineur. La société note qu’elle voit constamment des mineurs déployés sous la forme de programmes courants, de fichiers d’intérêt ou encore d’applications populaires. « Les mineurs sont devenus très populaires ces dernières années parce qu’il s’agit d’argent facile et que les attaquants essaient de faire le plus de victimes possible, par tous les moyens, y compris en incitant les utilisateurs à télécharger des fichiers qui ne sont pas ce qu’ils semblent être », précise l’entreprise à ZDNet.

Source : ZDNet.com