Une nouvelle cyberattaque en Russie met en lumière une stratégie sournoise employée par des pirates : l’utilisation de logiciels prétendument conçus pour contourner les restrictions internet. Plus de 2 000 utilisateurs ont été infectés par SilentCryptoMiner, un puissant logiciel malveillant dissimulé sous l’apparence d’outils permettant d’échapper à la censure en ligne. Cette campagne, révélée par la société de cybersécurité russe Kaspersky, s’inscrit dans une tendance inquiétante où des cybercriminels exploitent des solutions de diversion de paquets pour propager leurs malwares.
Une propagation via des outils de contournement de la censure
Les pirates exploitent la confiance des utilisateurs
En Russie, de nombreux internautes cherchent à contourner la censure grâce à des VPN et outils spécialisés. Profitant de cette demande, les attaquants diffusent leur logiciel malveillant sous forme d’une archive contenant des instructions d’installation détaillées. Ces instructions recommandent aux utilisateurs de dèsactiver leur antivirus, prétextant des faux positifs, ce qui permet aux pirates de contourner les barrières de sécurité.
Une diffusion via YouTube et Telegram
Le malware SilentCryptoMiner a été propagé via une chaîne YouTube comptant 60 000 abonnés. Une fausse mise en demeure a même été envoyée aux propriétaires de chaînes YouTube, les menaçant de sanctions s’ils ne publiaient pas des vidéos contenant des liens infectés. En décembre 2024, d’autres variations du malware ont été distribuées via des groupes Telegram et d’autres chaînes YouTube, démontrant l’ingéniosité des cybercriminels pour répandre leur attaque.
Une infection redoutablement efficace
Une dissimulation avancée pour éviter la détection
Une fois téléchargée, l’archive infectée contient un exécutable supplémentaire. Certains scripts d’installation d’origine sont modifiés pour exécuter le programme via PowerShell. Si un antivirus bloque le fichier, une fausse erreur invite l’utilisateur à désactiver son antivirus et relancer l’installation. Cette méthode assure une exécution réussie du malware et une persistance sur le système.
Des techniques d’évasion sophistiquées
SilentCryptoMiner s’installe en toute discrétion grâce à une série de vérifications : il détecte les environnements sandbox utilisés par les chercheurs en cybersécurité et configure des exceptions dans Windows Defender pour empêcher sa suppression. Afin d’éviter les analyses automatiques des antivirus, le fichier est gonflé artificiellement à 690 Mo.
Un malware qui exploite la puissance des machines infectées
Un mineur de cryptomonnaie basé sur XMRig
Ce malware utilise les ressources des victimes pour miner de la cryptomonnaie, en particulier du Monero (XMR) grâce à l’application open-source XMRig. Le processus malveillant est injecté discrètement dans un processus système (dwm.exe) pour masquer son activité. SilentCryptoMiner peut également suspendre l’activité de minage lorsque certains logiciels détectés sur l’ordinateur sont ouverts, évitant ainsi d’éveiller les soupçons.
Contrôle à distance et persistance
Les pirates contrôlent SilentCryptoMiner à distance via un panel en ligne. Ce mode opératoire leur permet d’ajuster les paramètres d’extraction de cryptomonnaie à tout moment et d’exploiter les machines infectées sur le long terme.
Les cybercriminels redoublent d’ingéniosité pour infecter les systèmes et exploiter leurs ressources. Comprendre ces techniques est essentiel pour mieux se protéger contre les attaques. Pour en apprendre davantage sur ces méthodes et les stratégies utilisées par les hackers, découvrez notre livre pour hacker. Cet ouvrage vous aidera à mieux comprendre le hacking et les méthodes de défense.
CyberCare propose des solutions pour renforcer votre cybersécurité et protéger vos systèmes des menaces émergentes. Ne laissez pas les pirates exploiter vos ressources et sécurisez dès maintenant vos infrastructures avec nos services spécialisés.
