Malware : des hackers utilisent Youtube pour miner du Monero (XMR)
ESET et mat – La société de cybersécurité ESET a découvert que les criminels opérant le réseau botnet Stantinko distribuent également un malware de cryptojacking, opérant par le biais de YouTube. Le logiciel malveillant permettrait donc de miner des cryptomonnaies – plus précisément du Monero – à l’insu des propriétaires des ordinateurs infectés. Il aurait déjà touché plus de 500 000 ordinateurs.
Le botnet Stantinko
Stantinko est un botnet actif depuis 2012 qui cible principalement les utilisateurs provenant de Russie, d’Ukraine, de Biélorussie et du Kazakstan. Depuis son lancement, le logiciel malveillant s’est installé sur plus de 500 000 machines.
Pour rappel, un botnet est un logiciel malveillant qui – une fois installé sur une machine – peut en prendre le contrôle et effectuer par la suite tout type d’actions. Jusqu’ici, le botnet Stantinko permettait d’effectuer des attaques classiques de fraude au clic, d’injection publicitaire, ou encore de vols de mots de passe. Cependant, Stantinko a changé de stratégie et opère à présent sur les machines infectées un logiciel de minage de Monero (XMR).
Les équipes du fournisseur d’antivirus Eset ont publié un rapport sur l’évolution des méthodes de propagation et d’action de ce logiciel. Dorénavant, celui-ci s’appuie sur des serveurs de commande et de contrôle (C&C) malveillants, disséminés dans des descriptions de vidéos YouTube. Ces différents serveurs permettaient de communiquer indirectement avec une coopérative de minage pour y diriger la puissance de calcul détournée par le malware.
L’idée derrière ce montage malin est en fait de permettre au réseau pirate de persister en camouflant les différentes adresses relais utilisées dans l’attaque. Ainsi, en théorie, le botnet serait plus difficile à repérer, à remonter et à faire tomber.
Pour autant, une fois la supercherie identifié, ESET a pu contacter la plateforme de vidéos qui s’est occupé de mettre hors-ligne les chaînes identifiées… dans l’attente de voir si de nouvelles allaient naître.
Malheureusement pour les utilisateurs, le logiciel dispose de techniques remarquables pour déjouer les détections le rendant extrêmement persistant.
Monero, un allié de choix
Comme dans la plupart des cas de cryptojacking, c’est une fois de plus le Monero qui est utilisé. Cette cryptomonnaie favorisant l’anonymat est idéale, car elle rend très difficile le suivi du larcin.
Le malware est de plus intelligent : pour éviter d’éveiller la suspicion chez ses victimes, il est capable s’adapter. Il sait repérer si un ordinateur portable est (ou non) branché à une alimentation externe, afin de réduire sa consommation si ce n’est pas le cas. Il peut également se mettre en pause lorsqu’un utilisateur dans le doute lance son gestionnaire de tâches, afin de ne pas être repéré.
Selon un rapport publié en juin 2018, Monero était déjà la cryptomonnaie préférée des malwares de cryptominage. Ces derniers seraient étaient même à l’époque à l’origine de l’extraction de 5 % de tous les moneros émis.
La lute contre ces logiciels est rendue complexe par l’ingéniosité continue déployée par leurs concepteurs pour les rendre plus discrets. Les plus hautes instances de la sécurité, comme Europol, sont sur le pied de guerre pour tenter de démanteler ces différents réseaux de cryptojacking. On ne saurait que trop vous conseiller de faire attention à ce que vous installez sur vos ordinateurs.