le 9 juillet 2018

Tous les moyens sont bons pour infecter les systèmes et l'utilisation d'un mécanisme standard de mise à jour des applications en fait partie. C'est en utilisant cette méthode que les pirates ont propagé le ransomware à chiffrement Trojan.Encoder.12544 connu sous les noms de Petya, Petya.A, ExPetya et WannaCry-2, ainsi que le backdoor BackDoor.Dande. Nous examinons ici un cas similaire étudié par les chercheurs de Doctor Web.

Notre support technique a reçu le message d'un utilisateur qui a remarqué que Dr.Web Antivirus installé sur son ordinateur détectait régulièrement et supprimait une application conçue pour l'extraction de crypto-monnaie. L’examen des journaux de son antivirus a montré que le miner était masqué dans un dossier temporaire sur son PC contaminé. Le journal de l'antivirus web SpIDer Gate, quant à lui, conservait des informations indiquant que l'application tentait de se connecter à une adresse IP qui correspondait au site web de la société Astrum Soft, l'éditeur d'un logiciel destiné à automatiser la facturation des services de clubs et cafés Internet.

Cette application embarque officiellement une fonction d'extraction de crypto-monnaie qui peut être activée par l'utilisateur lorsque l'ordinateur n'est pas chargé par d'autres tâches.

Cependant, une étude menée par les experts de Doctor Web a montré que ce n'était pas l'application qui était en cause, mais le miner caché, connu de l'antivirus Dr.Web sous le nom Trojan.BtcMine.2869. Le mécanisme de mise à jour de l'application en question téléchargeait automatiquement ce Trojan sur les serveurs de la société Astrum Soft et l'installait dans l'OS.

Cette application (dont le nom est " Internet Cafe ") envoie périodiquement une requête vers le serveur de son éditeur dans laquelle elle transmet des informations sur la version de l'application et sur l'OS utilisé. En réponse, elle peut recevoir une commande de téléchargement ou de lancement d'un fichier exécutable contenant une mise à jour du programme. L'échantillon examiné par les experts de Doctor Web télécharge des fonctionnalités malveillantes. Il termine les processus svchostm.exe et svcnost.exe, enregistre sur le disque le Trojan-miner et il modifie le registre de Windows pour assurer son lancement automatique. Des données sur le portefeuille sur lequel est versé la crypto-monnaie extraite sont enregistrées dans le corps du cheval de Troie. Si l'utilisateur supprime ce programme malveillant, le mécanisme de mise à jour peut le télécharger et le lancer de nouveau.

Le 9 juillet, les analystes ont compté plus de 2700 ordinateurs infectés sur lesquels agit ce Trojan.BtcMine.2869 . Dans l’échantillon examiné par les analystes de Doctor Web, les noms des ordinateurs contaminés commencent par le préfixe " soyuz6_ ", qui est également enregistré dans le corps du cheval de Troie. À ce jour, 613 ordinateurs contaminés commençant par ce préfixe ont été détectés. Ce Trojan s’est propagé du 24 mai au 4 juillet 2018. L'éditeur du logiciel concerné Astrum Soft ainsi que les services d'ordre ont été informés de cet incident.

Plus d'infos sur ce Trojan