Malware ProxyShellMiner Exploite des Vulnérabilités pour le Minage de Cryptomonnaie

Dans une nouvelle découverte de malware nommée ProxyShellMiner, le malware exploite les vulnérabilités ProxyShell pour installer des mineurs de cryptomonnaie dans tout le domaine Windows afin de générer des profits pour les acteurs de la menace.

Pour ceux qui ne le savent pas, ProxyShell est l’une des vulnérabilités d’Exchange trouvées et corrigées par Microsoft en 2021. Eh bien, les trois vulnérabilités sont combinées ensemble ; les vulnérabilités permettent l’exécution de code à distance non autorisée et laissent les acteurs de la menace prendre le contrôle total du serveur Exchange et se tourner vers d’autres parties du serveur d’entreprise.

Maintenant, les attaques ont été repérées par Morphisec et les acteurs de la menace abusent de la vulnérabilité ProxyShell qui a été suivie comme CVE-2021-34523 pour obtenir l’accès initial au réseau de l’organisation.

Après cela, les attaquants déploient une charge utile de malware NET dans le dossier NETLOGON du contrôleur de domaine pour s’assurer que tous les appareils sur le réseau fonctionnent avec le malware.

Lire : Nouvelle Variante de Trojan Royal Découverte, Cible les Machines Virtuelles VMware ESXi

Pour que le malware s’active, il nécessite un paramètre de ligne de commande qui fonctionne également comme un mot de passe pour le composant mineur XMRig. ProxyShell utilise un répertoire intégré, un algorithme de déchiffrement XOR et une clé XOR qui est téléchargée depuis un serveur distant, a mentionné Morphisec.

De plus, il utilise un programme C# CSC.exe avec des paramètres de compilation “InMemory” pour exécuter les prochains modules de code intégrés. Dans la phase suivante, le malware télécharge un fichier nommé “DC_DLL” et exécute la réflexion NET pour extraire l’argument pour le planificateur de tâches, XML, et la clé XMRig, puis le fichier DLL est utilisé pour le déchiffrement des fichiers supplémentaires.

Lire : Acteurs de Menace Russes Ciblent la Cryptomonnaie avec le Malware Enigma

En plus de cela, un second téléchargeur établit une connexion sur l’ordinateur compromis en créant une tâche planifiée qui est configurée lors de la connexion de l’utilisateur. Le second téléchargeur est téléchargé depuis l’emplacement distant avec les quatre autres fichiers.

Après tout cela, le fichier décide quels navigateurs de l’ordinateur injecté seront utilisés pour injecter le mineur dans la mémoire en utilisant une méthode connue sous le nom de “process hollowing” et choisit ensuite un pool aléatoire dans la liste codée en dur, et le processus de minage commence.

La dernière chose dans cette chaîne d’attaque est de créer une règle de pare-feu qui bloquera tout le trafic sortant, ce qui s’applique ensuite à chaque pare-feu Windows, et la raison derrière cela est de rendre les défenseurs moins susceptibles de détecter le malware ou de recevoir une notification concernant une possible injection depuis le système compromis.

Pour échapper aux programmes de sécurité qui surveillent le comportement d’exécution des processus, le malware attend au moins 30 secondes après le hollowing du navigateur avant de créer la règle de pare-feu ; il est tout à fait possible que les mineurs communiquent avec leur outil de minage via une porte dérobée qui n’est pas surveillée par le programme de sécurité.

Les entreprises de sécurité émettent des avertissements selon lesquels l’effet du malware va au-delà de la simple panne de services et de la surchauffe des machines. Alors que l’acteur de la menace prend le contrôle du réseau, les attaquants peuvent alors faire n’importe quoi, du déploiement de porte dérobée à l’exécution d’un code.

Lire : W4SP Stealer Trouvé sur l’Index PyPi, Menace pour les Portefeuilles Crypto & Mots de Passe de Navigateur