Le 24 janvier 2018

En Juillet 2017, les analystes de Doctor Web ont détecté, dans des applications serveur de Cleverence Mobile SMARTS Serveur, une vulnérabilités zero-day. Les développeurs du programme ont publié une mise à jour corrigeant ce problème, cependant, la vulnérabilité est encore utilisée par des pirates pour l’extraction de crypto-monnaie.

Les applications de la famille Cleverence SMARTS Serveur sont conçues pour l'automatisation de la logistique, des transports etc, dans les magasins, entrepôts, diverses institutions et industries. EIles sont destinées à fonctionner sur les PC tournant sous Windows. A la fin du mois de juillet de l'année dernière, les spécialistes de Doctor Web ont détecté une vulnérabilité critique dans un des composants de Cleverence mobile SMARTS Server, à l'aide de laquelle les attaquants obtiennent un accès non autorisé aux serveurs et y installent des Trojans de la famille Trojan.BtcMine créés pour extraire de la crypto-monnaie. Nous avons immédiatement signalé cette vulnérabilité aux développeurs du logiciel.

Au départ, les cybercriminels ont utilisé plusieurs versions du mineur détectées par Dr.Web comme Trojan.BtcMine.1324, Trojan.BtcMine.1369 et Trojan.BtcMine.1404. Les pirates envoient vers le serveur sur lequel tourne le logiciel Cleverence mobile SMARTS serveur une requête spécialement conçue pour que la commande incluse à la requête soit exécutée. Les pirates utilisent la commande pour créer un nouvel utilisateur dans le système qui possède des privilèges administrateur, puis à l'aide de cet utilisateur, ils obtiennent un accès non autorisé au serveur via le protocole RDP. Dans certains cas, les criminels terminent les processus des antivirus fonctionnant sur le serveur à l'aide de l'utilitaire Process Hacker. Une fois obtenu l’accès au système, les pirates y installent un Trojan-mineur.

Ce cheval de Troie représente une bibliothèque dynamique, que les cybercriminels sauvegardent dans un dossier temporaire, puis la lancent. Le programme malveillant remplace l'un des services légitimes Windows, il sélectionne le service selon un certain nombre de critères et supprime le fichier original du service système. Ensuite, le service malveillant obtient un certain nombre de privilèges système et attribue à son processus un indicateur de processus critique. Puis le Trojan sauvegarde sur le disque les fichiers dont il a besoin pour son fonctionnement et commence à extraire la crypto-monnaie, en utilisant les ressources matérielles du serveur contaminé.

Malgré le fait que les développeurs de Cleverence mobile SMARTS Serveur aient publié une mise à jour qui corrige la vulnérabilité dans l'ensemble des logiciels, beaucoup d'administrateurs système trainent et ne l'installent pas, et les pirates en profitent. Les cybercriminels continuent à installer sur les serveurs piraté des Trojans-mineurs et ils modifient constamment leurs versions. A partir de la mi-novembre 2017, les pirates ont commencé à utiliser un nouveau Trojan qu'ils améliorent à ce jour. Ce malware a été nommé Trojan.BtcMine.1978, il est conçu pour l'extraction de crypto-monnaie Monero (XRM) et Aeon.

Le mineur démarre en tant qu'un processus système critique dont le nom affiché est " Plug-and-Play Service ". Lorsque vous essayez de l’arrêter, l'OS Windows affiche « l'écran bleu de la mort » (BSOD). Après son démarrage, le Trojan.BtcMine.1978 tente de supprimer les processus des antivirus Dr.Web, Windows Live OneCare, Kaspersky Anti-Virus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security et Windows Defender. Il recherche sur la machine attaquée des processus de programmes antivirus et, s’il en trouve, déchiffre, enregistre sur le disque et lance un pilote avec lequel il tente de terminer ces processus. Dr.Web Antivirus détecte et bloque avec succès le pilote Process Hacker, utilisé par Trojan.BtcMine.1978, ce driver a été ajouté à la base de données virales Dr.Web comme un outil de piratage (hacktool).

Après avois reçu de sa propre configuration une listes des ports, Trojan.BtcMine.1978 cherche dans son environnement réseau un routeur. Ensuite, à l'aide du protocole UPnP, ils redirige le port TCP du routeur vers les ports listés et s'y connecte en attendant des connexions via HTTP. Le malware stocke les paramètres nécessaires pour son fonctionnement dans le Registre Windows.

Le corps du mineur contient une liste d'adresses IP des serveurs de contrôle qu'il vérifie pour en trouver un qui est actif. Ensuite, le cheval de Troie configure sur la machine contaminée des serveurs proxy à utiliser pour l'extraction de crypto-monnaie. Le Trojan.BtcMine.1978 lance sur commande des pirates un interpréteur de commandes PowerShell et redirige ses E/S vers l'utilisateur distant qui se connecte à l'hôte compromis. Ceci permet aux pirates d'exécuter sur le serveur contaminé des commandes différentes.

Après avoir réalisé ces actions, les Trojan intègrent dans tous les processus en cours d'exécution un module conçu pour l'extraction de crypto-monnaie. Le premier processus dans lequel ce module commence à fonctionner sera utilisé pour le mining de Monero (XMR) et Aeon.

Bien que le Trojan.BtcMine.1978 possède un mécanisme permettant de forcer l'arrêt des processus des logiciels antivirus, nos utilisateurs sont hors de danger, car l'auto-protection de Dr.Web Antivirus ne permet pas au Trojan d'affecter le fonctionnement des composants critiques. Les experts de Doctor Web conseillent aux administrateurs de serveurs utilisant Cleverence mobile SMARTS Server d'installer toutes les mises à jour de sécurité publiées par les développeurs.

#cheval_de_Troie #mining #crypto-monnaie