Un mineur clandestin sur Facebook

0
72

Un cheval de Troie dissimulant un mineur de bitcoins et se diffusant sur Facebook vient d’être identifié. Selon la société Bitdefender, qui propose des solutions de sécurité antivirus, le virus se propage via un message privé provenant d’un ami connu. Le message, « hahaha », est accompagné d’une pièce jointe au format archive intitulée IMAG00953.zip

Le fichier à l’intérieur de l’archive semble être une image JPG valide, mais elle contient en fait un fichier Java malveillant qui s’exécute sur la machine quand l’utilisateur l’ouvre.

A ce stade, le code Java télécharge des DLL depuis un compte Dropbox prédéfini. Une fois les DLL téléchargées, le malware se connecte à un serveur de commande et de contrôle, qui renvoie une charge utile (shellcode) encodée en 64Bits. Un message en anglais explique également à ceux qui tenteraient d’analyser son code, entre deux formules de politesse parsemées d’injures, qu’il n’est « pas un bot Zeus ou Skynet », qu’il n’est « pas là pour de la fraude mais juste du minage »

La charge utile est injectée dans l’explorateur Windows et exécutée. Cela déclenche le téléchargement d’une autre DLL, qui servira à lancer le processus de minage de bitcoin dans le but de faire gagner de l’argent aux pirates. En parallèle, le malware se propage sur Facebook en usurpant l’identité de la victime et en envoyant des messages à ses amis.

Source : bitdefender.fr


Désormais un classique du logiciel malveillant, les mineurs clandestins font travailler vos appareils à votre insu pour miner des crypto-monnaies augmentant au passage sa consommation et diminuant ses performances et sa durée de vie.

On se souviendra des chevaux de Troie DevilRobber en 2011, de skype-img-04_04-2013.exe, de Fareit, du mineur clandestin installé dans le logiciel client de l’ESEA, des malwares Coinkrypt, ANDROIDOS_KAGECOIN.HBT, BadLepricon et plus récemment du mineur clandestin dissimulé dans une version piratée du jeu vidéo « Watch Dogs ».