Malware CoinMiner
January 14, 2024
Coin Miner est un type de logiciel malveillant qui utilise les éléments matériels de l\'ordinateur de la victime pour miner des cryptomonnaies. Le plus souvent, les criminels qui contrôlent ce virus de minage (Monero (XMR) ou (Litecoin par exemple), car ce sont les plus faciles à miner. Ils peuvent utiliser un logiciel similaire ou même identique à celui utilisé pour le minage légitime, mais avec une différence clé: les personnes dont le matériel est utilisé n'ont jamais donné leur accord.
En général, les malwares de minage de cryptomonnaie visent principalement le CPU de l'utilisateur. Cela se produit parce qu'il y a un assez grand nombre d'ordinateurs, en particulier dans les bureaux, où aucun GPU n'est présent. Même si le minage avec GPU est beaucoup plus efficace de plusieurs ordres de grandeur, il est important pour les criminels de le lancer avec succès sur chaque ordinateur qu'ils envahissent. Ils substituent la qualité par la quantité, ce qui est assez efficace avec les cryptomonnaies choisies.
Comment fonctionne le Malware CoinMiner?
Comme mentionné précédemment, les mineurs de cryptomonnaie font presque les mêmes choses que les mineurs légitimes, et utilisent parfois le même code source - à partir d'outils open source. Ils se concentrent sur le calcul d'un hachage de bloc de transaction en utilisant le matériel. Selon la cryptomonnaie, le hachage peut comporter 64, 128, 256 caractères ou plus. Cette opération est nécessaire pour ajouter les informations de transaction à une blockchain, un grand livre mondial unique pour chaque cryptomonnaie.
Les GPU sont bien plus efficaces que les CPU pour cette tâche, car ils possèdent des milliers de cœurs d'exécution, contrairement aux CPU qui en ont généralement de 4 à 8. C'est pourquoi vous avez probablement entendu parler de l'augmentation du prix des cartes graphiques lors de la dernière flambée des cryptomonnaies. Vous pouvez toujours effectuer le minage avec un processeur, mais la tâche de calcul du hachage est sensible au temps. Si vous ne le terminez pas à temps, quelqu'un d'autre recevra une récompense pour l'avoir fait plus rapidement. Pour atténuer ce problème des deux côtés, les criminels optent pour des cryptomonnaies faciles à miner et piratent des centaines d'ordinateurs pour les ajouter à leur réseau. Ainsi, même avec d'anciens et faibles CPU, leur nombre compensera leur puissance.
Les malwares de minage de cryptomonnaie subordonnent généralement le serveur de commande, n'ayant que de petites choses à décider de manière autonome. Cependant, la configuration initiale du mineur de cryptomonnaie se produit presque toujours indépendamment du serveur - car la propagation est à grande échelle. Après sa configuration, le malware se connecte au serveur, récupère les instructions unifiées et commence à s'exécuter. Pour rendre cette connexion plus furtive, les criminels louent un serveur sur un hébergement bien connu - heureusement pour eux, ils utilisent les paiements en cryptomonnaie de nos jours.
Échantillons de Trojan CoinMiner trouvés en 2024:
Trojan.Win32.CoinMiner.cc | 605003d50ab9468473ab3a24c6462be3cf02a5bb83e23cd6d7ed8238dd2ccb69 |
Trojan.Win32.CoinMiner.ns | de2d17dcc2b8c55cc0c100c93b19d5b8e73896f67bcc7b144244bfbb809af513 |
Trojan.Win64.CoinMiner.oa!s1 | af36bb1797146886b03ff5c1baaa112e5a096fe44fdaeb8c3697c69312cd5611 |
Trojan.Win64.CoinMiner.dd!s1 | e138a195780a9d12308a70be78d4f796aa0718f5c3017a31f6785382bf56c9f4 |
Trojan.Win64.CoinMiner.ca | 41de08416967de58073203a4a231c2b6d93511a1880d1ec5786a3cb0c1b63f42 |
Trojan.Win32.CoinMiner.cld | dfc306f2b44e1bc8a7e7a8a69ae2e8d369b20d80bd69b8193c204d1ef5b622e8 |
Risk.Win64.CoinMiner.sd!ni | bb2a99f47c0b61fdb158b13ea673cdc2661a665c1a201ed7d0a9dca89db2d110 |
Trojan.Win64.CoinMiner.ca | 00748d7ea4ccfb6fc6ff59e3fe24c46b862ab3dd9c562ff6b13b5dfb31326bc6 |
Trojan.Win32.CoinMiner.ns | bc2c60349051bed87ef9a8cea28984a498f1b0f3b868868315b67c0dfd9ecf81 |
Trojan.Win64.CoinMiner.ca | a67109836839f25002d6a6e56666d6f94f7aafbd9a57c344b03b7ce55c69a32e |
Comment attrape-t-on un virus Coin Miner?
La plupart des mineurs de cryptomonnaie s'introduisent dans votre PC sous forme de chevaux de Troie - déguisés en applications ou outils légitimes. La manière exacte dont ils se propagent peut différer en fonction de la décision d'un criminel qui gère la distribution. Mais en général, vous rencontrerez le mineur de cryptomonnaie dans des applications piratées, des outils pour des actions peu légitimes et dans des courriels indésirables. Dans certains cas, il vous sera recommandé de désactiver votre antivirus - ce qui devrait déjà être considéré comme une menace. Cependant, comme mentionné précédemment, il existe des moyens de le rendre plus discret même sans manipulation des paramètres de sécurité de l'utilisateur.
Le courrier indésirable par e-mail comme moyen de distribution du mineur de cryptomonnaie est assez récent et semble avoir moins de succès de nos jours. Au début de l'été 2022, il y a eu une importante épidémie de tels mineurs, principalement dirigée vers les pays hispanophones. Le malware était contenu dans des fichiers .docx, .xlsx, .pdf ou .txt factices, qui étaient attachés à l'e-mail. Au lieu du schéma classique avec un script macro malveillant à l'intérieur d'un document, les criminels ont utilisé un autre schéma, plus ancien - la double extension. Par défaut, Windows désactive l'affichage des extensions de fichiers, de sorte que les victimes ne voyaient que l'extension "légitime" du document. En réalité, tous ces fichiers étaient exécutables - l'extension .exe se cachait derrière les paramètres de l'interface.
Le Malware CoinMiner est-il dangereux?
En général, le malware de minage de cryptomonnaie entraîne de nombreux désagréments lors de l'utilisation d'un PC. Le minage de cryptomonnaie est un processus très intensif en ressources, il est donc presque impossible d'utiliser l'ordinateur qui y est impliqué. Lorsque votre CPU ou GPU est chargé au maximum, de sorte qu'il est à peine suffisant pour faire fonctionner le système d'exploitation (~75-80%), cela signifie que vous aurez probablement du mal à même lancer un navigateur web. Le minage exploite autant de puissance que possible, et comme il est contrôlé par des pirates, vous n'avez aucun moyen de gérer cette charge.
Cependant, ce n'est pas le seul danger du minage. Le calcul efficace du hachage suppose une charge constante sur votre matériel, et les pirates ne manquent jamais une occasion d'exploiter le système qu'ils ont infecté aussi longtemps que possible. Pour les CPU, les charges à long terme ne sont pas très critiques - elles peuvent dysfonctionner uniquement en cas de défaut de cristal de silicium ou de dissipateur de chaleur défectueux. En revanche, les GPU subissent une usure importante lors du minage - certains modèles peuvent perdre plus de 20% de leurs performances en un mois, en fonction du logiciel et de la gestion de la charge. Cela se produit généralement lorsque la température et la charge matérielle ne sont pas correctement gérées, mais encore une fois, quand les cybercriminels ont-ils prêté attention à l'état du PC des victimes?
Il existe également un risque dont on parle rarement. Les mineurs de cryptomonnaie peuvent collecter des paquets de données qui sont plus courants pour les logiciels espions et les voleurs. Les informations sur l'emplacement, l'adresse IP réelle de la victime, la configuration de l'ordinateur, les informations personnelles - ces éléments collectés dans une base de données peuvent valoir cher sur le Darknet. Et les voyous qui diffusent des mineurs malveillants ne manqueront jamais une occasion de recevoir une prime monétaire. Intégrer la fonctionnalité de logiciel espion est une question de quelques minutes, et les résultats peuvent être alarmants pour une victime.
Comment détecter le Malware CoinMiner?
Le signe clé de l'activité d'un mineur de cryptomonnaie est la lenteur générale du système. Il est évident que tout système sera difficile à utiliser lorsque l'élément clé du système est occupé par une autre tâche. Le malware CoinMiner draine toute la puissance disponible, indépendamment de vos actions sur le PC. De plus, vous entendrez certainement la vitesse de votre ventilateur atteindre son maximum. Cependant, de telles situations peuvent se produire lorsque vous effectuez vos tâches quotidiennes, il est donc important de faire des recherches supplémentaires.
Contrairement aux logiciels espions mentionnés précédemment, le malware de minage de cryptomonnaie ne cache jamais sa présence. En fait, c'est impossible, car il y a un signe non supprimable de sa présence - la charge matérielle extrême. Comme ils ne peuvent pas s'en débarrasser, ils essaient de dissimuler le processus malveillant (il sera certainement présent dans le Gestionnaire des tâches) en le faisant passer pour quelque chose de connu et de légitime. La forme la plus répandue de dissimulation est de prendre le nom d'un certain processus système. La plupart des utilisateurs n'ont aucune idée des mécanismes internes de Windows et ne peuvent donc pas juger de l'adéquation des processus s'exécutant en arrière-plan.
Voir un processus comme "winlogon.exe" ou "msmpeng.exe" qui prend plus de 70% de la puissance de leur matériel ne leur dit rien, et une recherche sur Google montrera probablement que ces processus font partie de Windows. Cependant, il n'y a aucune situation où ces processus peuvent prendre autant de puissance CPU. Il existe plusieurs exceptions, apparemment, mais elles sont très rares et la présence d'un tel processus signifie très probablement que vous avez un malware de minage de cryptomonnaie dans votre système.
Signes typiques de l'exécution d'un virus Coin Miner dans votre système
- Charge élevée du CPU ou du GPU, présente quelles que soient vos actions sur le PC;
- Un processus système présent dans l'arborescence des processus de l'utilisateur;
- Impossible de résoudre la situation avec des redémarrages, c'est-à-dire que la charge CPU apparaît dès le démarrage de l'ordinateur;
- Windows Defender est désactivé;
Néanmoins, la meilleure façon d'être sûr que vous avez exactement ce problème est d'utiliser un logiciel antivirus. Vous pouvez deviner, bien sûr, et les chances de réussite peuvent être assez élevées, mais dans cette situation, miser sur le hasard n'est pas une option. Un logiciel spécialisé doté de plusieurs systèmes de détection vous montrera certainement tous les détails de ce qui se passe et supprimera l'intrus s'il est présent.
Comment protéger son PC du Malware CoinMiner?
Les mineurs de cryptomonnaie ne sont pas aussi faciles à prédire et à supprimer, car leurs vagues de propagation correspondent rarement à l'activité d'autres malwares. Ce type de malware est davantage orienté vers les valeurs de cryptomonnaie - et elles sont bien moins prévisibles que d'autres logiciels malveillants. Par conséquent, vous devez vous attendre à de nouvelles astuces et méthodes avec la prochaine vague de ruée vers la cryptomonnaie.
La meilleure façon de réduire les risques est d'éviter les sources potentielles de malware. Bien sûr, vous ne pouvez pas interdire l'utilisation de sa principale source - Internet - mais vous pouvez certainement arrêter de visiter les endroits dangereux et d'utiliser des logiciels susceptibles de nuire à votre système. Les sites de téléchargement proposant des versions piratées d'applications populaires, les forums ou les communautés Discord partageant des outils faits maison, les e-mails de destinataires inconnus - ils ne devraient pas être dignes de confiance. Même si vous êtes convaincu que cette source ne propage pas de choses malveillantes, il est préférable de la vérifier avant l'installation - vous ne pouvez jamais être sûr que la prochaine chose ne sera pas malveillante.
La méthode ultime, qui devrait toujours agir comme un dernier argument, est un logiciel antivirus efficace avec une protection proactive. Avec des applications moins complexes, vous pouvez certainement détecter les mineurs de cryptomonnaie déjà en cours d'exécution, mais une protection proactive peut les arrêter avant même qu'ils ne puissent rien faire. Et n'oubliez pas que les virus de minage de cryptomonnaie peuvent facilement agir comme des logiciels espions - et leur laisser plus de temps pour agir signifie divulguer tous vos détails personnels. GridinSoft Anti-Malware fera tout comme il se doit - rapidement et en ne laissant aucune chance au malware.