Image : MSI
Les chercheurs ont découvert que les sites MSI Afterburner usurpés contiennent des versions de l’utilitaire populaire qui ont été injectées avec des logiciels malveillants de minage. Les spécialistes de la cybersécurité de Cyble Research and Intelligence Labs ont a découvert que le logiciel infecté contient du code pour le crypto-minage. À une époque connue comme la saison des dons, certains utilisateurs peuvent donner plus qu’ils ne le savent chaque fois qu’ils allument leur ordinateur et se connectent à Internet.
Image : Google
“Cette campagne de logiciels malveillants de minage utilise les sites de phishing MSI Afterburner ciblant les joueurs et autres personnes qui ont besoin d’un calcul haute performance. Les TA utilisent des e-mails de phishing, des publicités en ligne et divers autres moyens pour propager des liens sur Internet. Les TA pourraient également cibler d’autres logiciels spécialisés pour propager des logiciels malveillants. »
Comme nous pouvons le voir à partir d’une recherche rapide sur Google, les sites MSI Afterburner usurpés dominent le moteur de recherche avec le site officiel enfoui au bas de la liste. Le logiciel modifié injecte du code pour le mineur XMR sur la machine infectée pendant le processus d’installation. Un fichier nommé”browser_assistent.exe”est placé dans l’emplacement”Program files”et une fois qu’il s’exécute, il injecte et charge, un shellcode du binaire XMR Miner codé est extrait du référentiel GitHub qui est ensuite injecté dans explore.exe.
“Dans ce cas, Afterburner abandonne le mineur XMR pour l’exploitation minière qui abuse silencieusement des ressources système de la victime (CPU et RAM principalement) et génère des revenus pour les attaquants. Cela diminue considérablement les performances globales du système de la victime et épuise ses ressources système, affectant gravement la productivité de l’utilisateur ou de l’organisation victime. »
Image : Cyble
Cyble a conseillé aux utilisateurs de mettre à jour et exécutez leur logiciel antivirus qui devrait aider à empêcher de tels téléchargements, ou leur installation et leur fonctionnement, mais met également en garde contre le téléchargement du logiciel à partir de sites torrent ou de tout autre au-delà du site officiel. Il (Cyble) a une liste d’indicateurs de compromis qui incluent les noms des applications installées et les sites Web auxquels ils se connectent, mais conseille également aux utilisateurs de vérifier périodiquement les performances des systèmes et l’utilisation du processeur. En fin de compte, cela rappelle fortement aux utilisateurs de ne télécharger que des applications à partir de sources officielles et de prêter également une attention particulière aux adresses et aux noms pour repérer les erreurs indiquant un site usurpé.
Rejoignez la discussion pour ce message sur nos forums…
