Crypto-monnaie minière, ou cryptojacking pour faire court, est l'une des principales menaces de cybersécurité visant à la fois les utilisateurs individuels et les entreprises, réseaux entiers inclus. Selon les statistiques, une personne sur trois organisations a été ciblé par les mineurs de crypto-monnaie.
Le nombre de mineurs de crypto-monnaie (ou cryptominers) a été de plus en plus, avec de nouvelles infections étant découvert sur une base quotidienne. KingMiner est le nom de la dernière menace découvert par des chercheurs de Trend Micro.
En savoir plus sur le KingMiner Cryptominer
KingMiner est l'exploitation minière et Monero crypto-monnaie cible les serveurs Windows. Il a d'abord été détectée dans la nature au milieu de Juin, et rapidement après que des versions améliorées ont été relâchés dans la nature. Celui qui est derrière le mineur utilise diverses techniques d'évasion, ce qui conduit à réduire de façon significative les taux de détection, les chercheurs. En outre, la montée de l'infection est en croissance constante.
KingMiner cible spécifiquement les serveurs Microsoft, IIS principalement SQL, et les tentatives de deviner leurs mots de passe en utilisant les attaques de force brute. Une fois l'accès obtenu, le malware télécharge un fichier Windows Scriptlet (.sct) et l'exécute sur l'ordinateur de la victime. Le fichier exécute les opérations suivantes:
- Le fichier détecte l'architecture CPU correspondante de la machine.
- Si les anciennes versions des fichiers d'attaque existent, il tue le processus de fichier exe pertinent et supprime les fichiers eux-mêmes.
- Une charge utile fichier ZIP (zip 64p.zip) téléchargé basé sur l'architecture du processeur détectée. Il convient de noter que n'est pas un fichier ZIP réel, mais plutôt un fichier XML qui contournera les tentatives d'émulation.
- La charge utile XML comprend un blob qui base64, une fois codé, entraînera l'intention fichier « ZIP ».
Dans le cas où les anciennes versions des fichiers malveillants sont détectés sur la machine ciblée, ils seront supprimés par la nouvelle, en version active. Après extraction, KingMiner créera un ensemble de nouvelles clés de registre et exécutera un fichier mineur XMRig qui est spécifié pour l'exploitation minière Monero.
L'analyse montre que le mineur est configuré pour utiliser 75% de la capacité CPU de la machine infectée. Cependant, des erreurs de codage se fait rendre à 100% l'utilisation de la CPU.
Quant à la piscine minière du malware, il est privé et l'API a été désactivé, et le porte-monnaie n'a jamais été utilisé dans les piscines publiques minières. Cela rend plutôt impossible pour les chercheurs de suivre les domaines qui sont en cours d'utilisation, ou pour définir la quantité de pièces Monero minées.
Qui est ciblé? Les chercheurs disent qu'ils peuvent voir que l'attaque est actuellement largement répandue, du Mexique en Inde, Norvège et Israël.
KingMiner est un exemple d'évolution des logiciels malveillants mining qui peuvent contourner crypto-monnaie commun de recherche et les systèmes d'émulation, dit Trend Micro. Les chercheurs prédisent que d'autres attaques de ce type seront vus à l'avenir.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: