Un faux portail MSI Afterburner cible les joueurs Windows pour miner des cryptomonnaies

Un faux portail de téléchargement MSI Afterburner qui cible les utilisateurs avancés de Windows et les joueurs Windows en les infectant avec des mineurs de cryptomonnaies et le malware RedLine qui vole des informations, selon un nouveau rapport des chercheurs de Cyble.

Pour commencer, un MSI Afterburner est une fonctionnalité GPU qui permet aux utilisateurs de configurer l’overclocking, d’enregistrer des vidéos, de créer des profils de ventilateur et de surveiller l’utilisation de leur carte graphique et de leur CPU installés.

Eh bien, cette fonctionnalité peut être utilisée par des utilisateurs avec presque toutes les cartes graphiques, ce qui la rend utilisable pour des millions d’utilisateurs à travers le monde qui modifient ensuite ses paramètres selon leurs besoins, c’est-à-dire pour atteindre une température plus basse, améliorer les performances de jeu, et plus encore.

Eh bien, toutes ces choses font de cet outil une bonne cible pour les attaquants qui cherchent à cibler les utilisateurs avancés de Windows ou les joueurs qui utilisent des GPU puissants, qu’ils peuvent prendre en charge pour l’utilisation de la cryptomonnaie.

Selon Cyble, au cours des trois derniers mois, plus de 50 sites Web sont apparus sur Internet, imitant le site officiel de MSI Afterburn et poussant des mineurs XMR aux côtés du malware volant des informations.

Lire : Le groupe AXLocker de ransomware vole les comptes Discord des utilisateurs infectés

Pour ajouter à cela, la campagne a utilisé des noms de domaine identiques pour tromper les utilisateurs en leur faisant croire qu’ils sont le véritable site MSI Afterburn, ce qui est plus facile à promouvoir en utilisant le Black SEO. Voici quelques-uns des domaines identifiés par Cyble.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

De plus, dans d’autres cas, les domaines n’utilisaient pas la marque MSI et étaient probablement promus par le biais de messages, de publications sur les réseaux sociaux et de forums.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Lorsque le fichier d’installation MSI Afterburner faux est exécuté (MSIAfterburnerSetup.msi), le fichier valide sera installé. Cependant, l’installateur déposera silencieusement et exécutera le malware RedLine qui vole des informations et également le mineur XMR sur l’appareil infecté.

Le mineur XMR est ensuite installé via un exécutable Python 64 bits nommé “browser_assistant.exe” dans le répertoire des fichiers de programme locaux, qui insère un shell dans le processus créé par l’installateur.

Le code Shell récupère le mineur XMR à partir de l’archive GitHub et l’injecte directement dans la mémoire du processus explorer.exe, et comme les mineurs XMR n’interagissent jamais avec le disque, les chances qu’il soit détecté par les produits de sécurité sont assez minces. Après cela, le mineur XMR se connecte à la piscine de mineurs en utilisant un nom d’utilisateur et un mot de passe codés en dur, puis fournit les informations système de base à l’attaquant.

Lire : Kit de phishing ciblant les Nord-Américains pendant la saison des fêtes !

Eh bien, l’une des fonctions que le mineur utilise est le “thread CPU maxed” réglé à 20, ce qui dépasse la plupart des threads CPU, donc il est réglé pour consommer toute la puissance disponible. Le mineur XMR commence à miner seulement après une heure, et puisque le CPU passe en mode veille, cela indique que le PC compromis n’est pas utilisé pour une tâche gourmande en ressources et est probablement laissé sans surveillance.

De plus, il utilise la fonction cinit-stealth-targets, qui est essentiellement une option pour mettre en pause le minage et effacer la mémoire GPU lorsqu’un programme particulier répertorié sous les “cibles furtives” est lancé. Ceux-ci pourraient très bien être les programmes qui aident la victime à identifier les processus malveillants, c’est-à-dire antivirus, visualiseur de ressources matérielles, et plus encore.

Dans ce scénario, le mineur qui essaie de se cacher des applications Windows est taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, et procexp64.exe. En même temps, le mineur XMR prend silencieusement le contrôle de vos ressources (Monero) ; le RedLine avait déjà fonctionné en arrière-plan en volant des données de navigateur, des cookies, des mots de passe, et tout portefeuille de cryptomonnaie possible.

Malheureusement, presque tous les composants de la campagne Fake MSI Afterburn ont une mauvaise détection par les logiciels antivirus, à tel point qu’un rapport de VirusTotal mentionne que le fichier d’installation MSIAfterburnerSetup.msi n’est détecté que par 3 logiciels de sécurité sur 56 et que le browser_assistant.exe n’est détecté que par 2 sur 67.

Lire : Malware Mirai RapperBot attaquant les serveurs de jeux en ligne avec DDoS