Selon un rapport de l’expert en sécurité Sophos, une variante du logiciel malveillant Mal/Miner-C (alias PhotoMiner) a pu contaminer 70 pour cent des disques dur externes de type NAS de Seagate Central dans le but d’exploiter la puissance des machines liées pour miner la crypto-monnaie Monero.
PhotoMiner est apparu pour la première fois en juin 2016 et s’attaquait alors qu’uniquement aux serveurs FTP et s’auto-propageait via les listes d’identifications par défaut. La découverte de cette nouvelle version de PhotoMiner par les chercheurs en sécurité de Sophos, montre qu’un exploit ciblant le logiciel livré avec les disques durs NAS de Seagate Central y a été intégré, permettant une propagation encore plus importante.
Les disques durs NAS de Seagate Central sont essentiellement des disques dur externes de backup connecté en réseau qui permettent aux utilisateurs de consulter leurs fichiers par le biais d’un réseau local ou depuis Internet. Les chercheurs expliquent que chaque disque NAS de Seagate Central contient un dossier public qui est accessible par tous les utilisateurs, même s’ils sont anonymes : c’est dans ce dernier que s’implante le malware.
Les pirates auteurs de PhotoMiner utilisent des scanners afin de repérer ce type de NAS vulnérable afin d’y copier le malware dans l’espace en libre accès. Le fichier utilise l’icône d’un dossier pour tromper l’utilisateur qui, en effectuant un double clic, va tout simplement lancer le processus d’installation du logiciel malveillant sur la machine Windows dont il se sert pour accéder au support de stockage.
« Comme il génère un nouveau fichier d’initialisation quand il est lancé, il aide le logiciel malveillant à éviter les solutions de sécurité. Il donne également aux opérateurs de botnets une chance de changer la charge utile de la menace à l’avenir, par exemple, désactiver le ransomware de la machine de la victime une fois que l’activité minière n’est plus rentable », a expliqué l’équipe de Sophos dans son rapport (PDF).
PhotoMiner a été conçu pour spécifiquement pour miner la crypto-monnaie Monero, une monnaie virtuelle qui ne demande pas une aussi grande puissance de calcul que le Bitcoin pour être minée. Monero est par ailleurs spécifiquement conçue pour protéger l’anonymat et la vie privée, et la décentralisation.
Actuellement, PhotoMiner aurait infecté 70 % des périphériques NAS Seagate Central disponibles sur internet (entre 5 000 et 7 000 appareils). Les experts de Sophos ont réussi à faire une estimation du profit généré par leur activité qu’ils ont chiffrée à un peu plus de 76 000 euros. Ces calculs ont pu être réalisés parce que tous les comptes Monero sur lesquels les pirates collectent de l’argent sont sauvegardés dans le fichier de configuration du logiciel malveillant.
Chose importante à savoir : l’attaque va se poursuivre encore un moment étant donné que les propriétaires de périphériques NAS Seagate Central ne sont pas en mesure de se protéger à l’heure actuelle puisque qu’aucun patch correctif pour le logiciel officiel n’a été fourni. Il faut donc tout bonnement déconnecter le NAS du réseau pour être hors de danger… Pas top !
Source : Developpez.com