Logiciel malveillant Bitcoin | Comment sécuriser la monnaie numérique

Temps de lecture : 4 minutes

La monnaie électronique (monnaie électronique) est de plus en plus utilisée par les gens pour effectuer des achats en ligne. Et bien sûr, comme la nuit suit le jour, cela signifie que la monnaie électronique attire également l'attention des malware auteurs qui essaient d'en profiter par tous les moyens possibles. Nous avons rencontré un échantillon malveillant, dont le rôle n'est pas de voler mais de générer (de `` miner '') de la monnaie numérique à l'aide d'un `` pool de minage '' Bitcoin (un réseau informatique distribué pour générer des `` Bitcoins ''). L'attaque est exécutée en installant un programme cheval de Troie sur un réseau d'ordinateurs victimes, puis en utilisant leur puissance de traitement pour générer des blocs Bitcoin.

Alors, qu'est-ce que Bitcoin et comment ça marche? Eh bien, contrairement à la monnaie traditionnelle, qui est générée par une autorité centrale telle qu'une banque émettrice, les Bitcoins sont générés dynamiquement au fur et à mesure des besoins via un réseau de nœuds peer-to-peer décentralisé - ou `` mineurs ''. Chaque `` mineur '' est un ensemble de ressources informatiques (parfois juste un ordinateur ordinaire comme celui de votre bureau) qui a été consacré au traitement des transactions Bitcoin. Une fois qu'il y a eu suffisamment de ces transactions, elles sont regroupées dans un `` bloc '' - et ce bloc supplémentaire de transactions est ensuite ajouté à la `` chaîne de blocs '' principale qui est maintenue sur le plus grand réseau Bitcoin. La chose clé à noter ici est que le processus de production d'un «bloc» est très gourmand en matériel et nécessite une grande puissance de calcul. Ainsi, en échange du bénévolat de leur matériel, les mineurs qui parviennent à générer un bloc sont récompensés par une prime de Bitcoins et reçoivent tous les frais de transaction de ce bloc. Ce système d'octroi de récompenses aux mineurs est en fait également le mécanisme par lequel la masse monétaire Bitcoin est augmentée.

Comme mentionné, les exigences de calcul pour produire un bloc sont très élevées, donc plus une entité peut utiliser de puissance de traitement, plus elle peut traiter de transactions et plus elle est susceptible de recevoir de Bitcoins. Et quelle meilleure source de puissance de calcul pour un pirate que son propre réseau de PC zombies en train de croquer sans relâche les transactions Bitcoin?

Le cheval de Troie qui installe les composants de minage a une taille de 80 Ko et, lors de l'exécution, il déchiffre en mémoire un fichier PE situé dans le .code section, à 0x9400, taille 0xAA00. Le déchiffrement est un simple octet XOR, avec 20 clés d'octets successives situées dans .idata section. Les étapes d'installation sont suivies par le nouveau processus en mémoire décrypté qui télécharge les composants nécessaires et contient également les paramètres d'exploration de données (comme les informations d'identification de l'utilisateur et du mot de passe pour le pool de minage, tous cryptés dans les ressources).

Le fichier crypté est emballé avec UPX. Ressources importantes présentes dans le fichier:

Ressource OTR0 chiffrée

Il contient les paramètres d'exécution et les informations d'identification pour le pool de minage («-t 2 -o http://user:password@server.com:port«. Le paramètre -t représente le nombre de threads utilisés pour les calculs. Le paramètre -o spécifie le serveur auquel se connecter.

Le déchiffrement révèle l'adresse et les informations d'identification du serveur de pool

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - nom du fichier d'exploration de données déposé (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - nom sous lequel le fichier s'auto-copie (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - clé de déchiffrement des chaînes de ressources chiffrées (elle sera utilisée pour décoder les paramètres de chaîne stockés en tant que ressources)

Le fichier se copie dans Mes documentsWindowssockets.exe et exécute la copie.

Après exécution, il télécharge les fichiers suivants:

- 142.0.36.34/u/main.txt - Un binaire de minage enregistré sous «socket.exe», qui semble être une modification d'une application de minage open source connue.
- 142.0.36.34/u/m.txt - Un fichier texte contenant les valeurs hexadécimales d'un PE binaire sera transformé en «miner.dll», une dépendance du précédent.

- 142.0.36.34/u/usft_ext.txt - Un fichier binaire, dépendance enregistrée sous «usft_ext.dll».
- 142.0.36.34/u/phatk.txt - Enregistré sous «phatk.ptx» - instructions de l'assembleur pour les GPU, qui peuvent être utilisées pour des calculs avancés.
- 142.0.36.34/u/phatk.cl - Enregistré sous «phatk.cl» - fichier source conçu pour les calculs GPU.

Lorsque tous les téléchargements sont terminés et que les dépendances sont en place, le binaire de minage est lancé avec des paramètres décodés et commence à faire des calculs pour générer des pièces virtuelles. Comme prévu, l'utilisation du processeur augmente, ce qui maintient l'ordinateur en charge élevée.

Le binaire malveillant communique à plusieurs reprises avec le serveur de pool à la fin des cycles de calcul et envoie les résultats de ses calculs - les «pièces virtuelles».

Cheval de Troie compte-gouttes:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Exploitation binaire:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Solutions ITSM

COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/