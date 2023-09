Les cybercriminels ont découvert une nouvelle méthode pour cibler les graphistes, en infectant leurs ordinateurs avec des mineurs de cryptomonnaie. Les attaquants utilisent un outil Windows légitime appelé « Advanced Installer » pour distribuer des scripts malveillants déguisés en installateurs de logiciels populaires de modélisation 3D et de conception graphique.

La campagne, découverte par Cisco Talos, est active depuis au moins novembre 2021. Les attaquants utilisent probablement des techniques d'optimisation des moteurs de recherche black hat pour promouvoir ces installateurs infectés. Lorsque les utilisateurs téléchargent et exécutent les programmes d’installation, ils installent sans le savoir des chevaux de Troie d’accès à distance (RAT) et des charges utiles de cryptomining.

Les graphistes, animateurs et monteurs vidéo sont les principales cibles de cette campagne. Ces professionnels utilisent souvent des ordinateurs dotés de GPU puissants capables de prendre en charge des taux de hachage minier plus élevés, ce qui les rend plus rentables pour les attaquants.

Les analystes de Cisco ont identifié deux méthodes d'attaque distinctes utilisées dans cette campagne. Les deux méthodes utilisent Advanced Installer pour créer des fichiers d’installation contenant des scripts PowerShell et batch malveillants. Ces scripts sont exécutés au lancement du programme d'installation. La première méthode d'attaque met en place une tâche récurrente exécutant un script PowerShell qui déchiffre la charge utile finale. La deuxième méthode d'attaque supprime deux scripts malveillants qui configurent des tâches planifiées pour exécuter des scripts PowerShell.

Les charges utiles délivrées par ces attaques incluent un outil d'accès à distance appelé M3_Mini_Rat, qui permet aux attaquants de contrôler les systèmes infectés. Le RAT peut exécuter diverses fonctions telles que la reconnaissance du système, la gestion des processus, l'exploration du système de fichiers, les tâches de commande et de contrôle, la gestion des fichiers, la transmission de données, etc. Les deux autres charges utiles, PhoenixMiner et lolMiner, exploitent la crypto-monnaie en détournant la puissance de calcul des cartes graphiques.

Les attaquants derrière cette campagne semblent principalement intéressés par le gain financier. La deuxième méthode d’attaque, qui utilise des cryptomineurs, se concentre sur des gains financiers rapides avec un risque de détection plus élevé. La charge utile M3_Mini_Rat, quant à elle, permet aux attaquants de maintenir un accès discret et prolongé aux systèmes cibles.

La campagne a principalement touché des victimes en France et en Suisse, avec des infections notables aux États-Unis, au Canada, en Allemagne, en Algérie et à Singapour. Pour se protéger contre ce type d'attaque, les utilisateurs doivent être prudents lorsqu'ils téléchargent des logiciels à partir de sources non officielles et s'assurer qu'ils utilisent des installateurs légitimes et à jour.

