Qu'est-ce que le Malware Coin Miner? Explication du Trojan CoinMiner

Coin Miner est un logiciel malveillant qui se concentre sur la génération de cryptomonnaies en les minant sur le CPU ou le GPU des victimes.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

Qu'est-ce que Coin Miner? | Malware CoinMiner | Gridinsoft

Malware CoinMiner

January 13, 2024

Le minage de cryptomonnaie est devenu une ruée vers l'or du XXIe siècle. Tout le monde en a entendu parler, et de nombreuses personnes ont commencé à l'utiliser comme source de revenus supplémentaires, voire principale. Cependant, les grosses sommes d'argent attirent non seulement les riches, mais aussi les voyous qui visent à s'approprier cet argent ou à faire travailler quelqu'un d'autre pour s'enrichir.

Coin Miner est un type de logiciel malveillant qui utilise les éléments matériels de l\'ordinateur de la victime pour miner des cryptomonnaies. Le plus souvent, les criminels qui contrôlent ce virus de minage (Monero (XMR) ou (Litecoin par exemple), car ce sont les plus faciles à miner. Ils peuvent utiliser un logiciel similaire ou même identique à celui utilisé pour le minage légitime, mais avec une différence clé: les personnes dont le matériel est utilisé n'ont jamais donné leur accord.

En général, les malwares de minage de cryptomonnaie visent principalement le CPU de l'utilisateur. Cela se produit parce qu'il y a un assez grand nombre d'ordinateurs, en particulier dans les bureaux, où aucun GPU n'est présent. Même si le minage avec GPU est beaucoup plus efficace de plusieurs ordres de grandeur, il est important pour les criminels de le lancer avec succès sur chaque ordinateur qu'ils envahissent. Ils substituent la qualité par la quantité, ce qui est assez efficace avec les cryptomonnaies choisies.

Comment fonctionne le Malware CoinMiner?

Comme mentionné précédemment, les mineurs de cryptomonnaie font presque les mêmes choses que les mineurs légitimes, et utilisent parfois le même code source - à partir d'outils open source. Ils se concentrent sur le calcul d'un hachage de bloc de transaction en utilisant le matériel. Selon la cryptomonnaie, le hachage peut comporter 64, 128, 256 caractères ou plus. Cette opération est nécessaire pour ajouter les informations de transaction à une blockchain, un grand livre mondial unique pour chaque cryptomonnaie.

Schéma de minage de cryptomonnaie

Les GPU sont bien plus efficaces que les CPU pour cette tâche, car ils possèdent des milliers de cœurs d'exécution, contrairement aux CPU qui en ont généralement de 4 à 8. C'est pourquoi vous avez probablement entendu parler de l'augmentation du prix des cartes graphiques lors de la dernière flambée des cryptomonnaies. Vous pouvez toujours effectuer le minage avec un processeur, mais la tâche de calcul du hachage est sensible au temps. Si vous ne le terminez pas à temps, quelqu'un d'autre recevra une récompense pour l'avoir fait plus rapidement. Pour atténuer ce problème des deux côtés, les criminels optent pour des cryptomonnaies faciles à miner et piratent des centaines d'ordinateurs pour les ajouter à leur réseau. Ainsi, même avec d'anciens et faibles CPU, leur nombre compensera leur puissance.

Les malwares de minage de cryptomonnaie subordonnent généralement le serveur de commande, n'ayant que de petites choses à décider de manière autonome. Cependant, la configuration initiale du mineur de cryptomonnaie se produit presque toujours indépendamment du serveur - car la propagation est à grande échelle. Après sa configuration, le malware se connecte au serveur, récupère les instructions unifiées et commence à s'exécuter. Pour rendre cette connexion plus furtive, les criminels louent un serveur sur un hébergement bien connu - heureusement pour eux, ils utilisent les paiements en cryptomonnaie de nos jours.

Échantillons de Trojan CoinMiner trouvés en 2024:

Trojan.Win32.CoinMiner.vb8bee95131ae47d9a5e3c8cccceaaad7e5567eac66ae7c0d875c9a57d3fc7acef
Trojan.Win64.CoinMiner.cl925431d9ad6dde0970110c701b45d78ba2ef5806cd56eb8b2014efc5bb73ee5b
Trojan.Win64.CoinMiner.sa93b53cd8b67d4d6c429170e1efb530262d46f78e7e3d826b1f8a6ef22f521460
Risk.Win32.CoinMiner.dd!n0135aafc6a99a21d8bd2e890f91addf37a2702f0caa8863708a90825c44c9fc6
Trojan.Win64.CoinMiner.sa96d486fe07d834c95414fc017b2e4a7348f32ba67cd250ad4dd545601bccce6e
Risk.CoinMiner.B.vl!yf60ad648c1e48af06869573320bc25d824c10d141e4f919d1e45aa4992445db85
Trojan.Win32.Miner.clde566c3e0027e3c9da99c87a8c9e2eb9e796b157afd8cf91369a651d26cff2c14
Trojan.Win32.CoinMiner.oa!s456c1f6c904b9c65bef9894603b92fcf9df31314fb6db70e6d7689bc215e185ac
Ransom.Win32.Miner.cld6d49017cc391b1eff941718861b39f650c24402f1ace1c9c0dd8aafa530ee4bf
Trojan.Win32.CoinMiner.dd!ncc0e2956994e20bdcc659dc8c8070e26e4fd8aa4a8a3e6303176aa7b05f5fbec

Comment attrape-t-on un virus Coin Miner?

La plupart des mineurs de cryptomonnaie s'introduisent dans votre PC sous forme de chevaux de Troie - déguisés en applications ou outils légitimes. La manière exacte dont ils se propagent peut différer en fonction de la décision d'un criminel qui gère la distribution. Mais en général, vous rencontrerez le mineur de cryptomonnaie dans des applications piratées, des outils pour des actions peu légitimes et dans des courriels indésirables. Dans certains cas, il vous sera recommandé de désactiver votre antivirus - ce qui devrait déjà être considéré comme une menace. Cependant, comme mentionné précédemment, il existe des moyens de le rendre plus discret même sans manipulation des paramètres de sécurité de l'utilisateur.

Le courrier indésirable par e-mail est l'un des moyens populaires de propagation du malware Coin Miner
Le courrier indésirable par e-mail est l'un des moyens populaires de propagation du malware Coin Miner

Le courrier indésirable par e-mail comme moyen de distribution du mineur de cryptomonnaie est assez récent et semble avoir moins de succès de nos jours. Au début de l'été 2022, il y a eu une importante épidémie de tels mineurs, principalement dirigée vers les pays hispanophones. Le malware était contenu dans des fichiers .docx, .xlsx, .pdf ou .txt factices, qui étaient attachés à l'e-mail. Au lieu du schéma classique avec un script macro malveillant à l'intérieur d'un document, les criminels ont utilisé un autre schéma, plus ancien - la double extension. Par défaut, Windows désactive l'affichage des extensions de fichiers, de sorte que les victimes ne voyaient que l'extension "légitime" du document. En réalité, tous ces fichiers étaient exécutables - l'extension .exe se cachait derrière les paramètres de l'interface.

Le Malware CoinMiner est-il dangereux?

En général, le malware de minage de cryptomonnaie entraîne de nombreux désagréments lors de l'utilisation d'un PC. Le minage de cryptomonnaie est un processus très intensif en ressources, il est donc presque impossible d'utiliser l'ordinateur qui y est impliqué. Lorsque votre CPU ou GPU est chargé au maximum, de sorte qu'il est à peine suffisant pour faire fonctionner le système d'exploitation (~75-80%), cela signifie que vous aurez probablement du mal à même lancer un navigateur web. Le minage exploite autant de puissance que possible, et comme il est contrôlé par des pirates, vous n'avez aucun moyen de gérer cette charge.

Cependant, ce n'est pas le seul danger du minage. Le calcul efficace du hachage suppose une charge constante sur votre matériel, et les pirates ne manquent jamais une occasion d'exploiter le système qu'ils ont infecté aussi longtemps que possible. Pour les CPU, les charges à long terme ne sont pas très critiques - elles peuvent dysfonctionner uniquement en cas de défaut de cristal de silicium ou de dissipateur de chaleur défectueux. En revanche, les GPU subissent une usure importante lors du minage - certains modèles peuvent perdre plus de 20% de leurs performances en un mois, en fonction du logiciel et de la gestion de la charge. Cela se produit généralement lorsque la température et la charge matérielle ne sont pas correctement gérées, mais encore une fois, quand les cybercriminels ont-ils prêté attention à l'état du PC des victimes?

Il existe également un risque dont on parle rarement. Les mineurs de cryptomonnaie peuvent collecter des paquets de données qui sont plus courants pour les logiciels espions et les voleurs. Les informations sur l'emplacement, l'adresse IP réelle de la victime, la configuration de l'ordinateur, les informations personnelles - ces éléments collectés dans une base de données peuvent valoir cher sur le Darknet. Et les voyous qui diffusent des mineurs malveillants ne manqueront jamais une occasion de recevoir une prime monétaire. Intégrer la fonctionnalité de logiciel espion est une question de quelques minutes, et les résultats peuvent être alarmants pour une victime.

Comment détecter le Malware CoinMiner?

Le signe clé de l'activité d'un mineur de cryptomonnaie est la lenteur générale du système. Il est évident que tout système sera difficile à utiliser lorsque l'élément clé du système est occupé par une autre tâche. Le malware CoinMiner draine toute la puissance disponible, indépendamment de vos actions sur le PC. De plus, vous entendrez certainement la vitesse de votre ventilateur atteindre son maximum. Cependant, de telles situations peuvent se produire lorsque vous effectuez vos tâches quotidiennes, il est donc important de faire des recherches supplémentaires.

Quelque chose charge le processeur à 100%
Quelque chose charge le processeur à 100%

Contrairement aux logiciels espions mentionnés précédemment, le malware de minage de cryptomonnaie ne cache jamais sa présence. En fait, c'est impossible, car il y a un signe non supprimable de sa présence - la charge matérielle extrême. Comme ils ne peuvent pas s'en débarrasser, ils essaient de dissimuler le processus malveillant (il sera certainement présent dans le Gestionnaire des tâches) en le faisant passer pour quelque chose de connu et de légitime. La forme la plus répandue de dissimulation est de prendre le nom d'un certain processus système. La plupart des utilisateurs n'ont aucune idée des mécanismes internes de Windows et ne peuvent donc pas juger de l'adéquation des processus s'exécutant en arrière-plan.

Voir un processus comme "winlogon.exe" ou "msmpeng.exe" qui prend plus de 70% de la puissance de leur matériel ne leur dit rien, et une recherche sur Google montrera probablement que ces processus font partie de Windows. Cependant, il n'y a aucune situation où ces processus peuvent prendre autant de puissance CPU. Il existe plusieurs exceptions, apparemment, mais elles sont très rares et la présence d'un tel processus signifie très probablement que vous avez un malware de minage de cryptomonnaie dans votre système.

Signes typiques de l'exécution d'un virus Coin Miner dans votre système

  • Charge élevée du CPU ou du GPU, présente quelles que soient vos actions sur le PC;
  • Un processus système présent dans l'arborescence des processus de l'utilisateur;
  • Impossible de résoudre la situation avec des redémarrages, c'est-à-dire que la charge CPU apparaît dès le démarrage de l'ordinateur;
  • Windows Defender est désactivé;

Néanmoins, la meilleure façon d'être sûr que vous avez exactement ce problème est d'utiliser un logiciel antivirus. Vous pouvez deviner, bien sûr, et les chances de réussite peuvent être assez élevées, mais dans cette situation, miser sur le hasard n'est pas une option. Un logiciel spécialisé doté de plusieurs systèmes de détection vous montrera certainement tous les détails de ce qui se passe et supprimera l'intrus s'il est présent.

Comment protéger son PC du Malware CoinMiner?

Les mineurs de cryptomonnaie ne sont pas aussi faciles à prédire et à supprimer, car leurs vagues de propagation correspondent rarement à l'activité d'autres malwares. Ce type de malware est davantage orienté vers les valeurs de cryptomonnaie - et elles sont bien moins prévisibles que d'autres logiciels malveillants. Par conséquent, vous devez vous attendre à de nouvelles astuces et méthodes avec la prochaine vague de ruée vers la cryptomonnaie.

La meilleure façon de réduire les risques est d'éviter les sources potentielles de malware. Bien sûr, vous ne pouvez pas interdire l'utilisation de sa principale source - Internet - mais vous pouvez certainement arrêter de visiter les endroits dangereux et d'utiliser des logiciels susceptibles de nuire à votre système. Les sites de téléchargement proposant des versions piratées d'applications populaires, les forums ou les communautés Discord partageant des outils faits maison, les e-mails de destinataires inconnus - ils ne devraient pas être dignes de confiance. Même si vous êtes convaincu que cette source ne propage pas de choses malveillantes, il est préférable de la vérifier avant l'installation - vous ne pouvez jamais être sûr que la prochaine chose ne sera pas malveillante.

La méthode ultime, qui devrait toujours agir comme un dernier argument, est un logiciel antivirus efficace avec une protection proactive. Avec des applications moins complexes, vous pouvez certainement détecter les mineurs de cryptomonnaie déjà en cours d'exécution, mais une protection proactive peut les arrêter avant même qu'ils ne puissent rien faire. Et n'oubliez pas que les virus de minage de cryptomonnaie peuvent facilement agir comme des logiciels espions - et leur laisser plus de temps pour agir signifie divulguer tous vos détails personnels. GridinSoft Anti-Malware fera tout comme il se doit - rapidement et en ne laissant aucune chance au malware.

Foire Aux Questions

Comment savoir si votre ordinateur est utilisé pour le minage de cryptomonnaie?
Le principal signe d'une infection par un logiciel malveillant de minage de cryptomonnaie est une lenteur extrême de votre système. Étant donné que les logiciels malveillants de minage exploitent votre processeur, cela rend le système lent, car il ne peut pas gérer les tâches habituelles à une vitesse adéquate. Les logiciels malveillants de minage de cryptomonnaie ne laissent que 10 à 15 % de la puissance du processeur pour faire fonctionner le système, ce qui rend les tâches de l'utilisateur plus lentes. Vous pouvez également remarquer un signe auxiliaire de présence de logiciels malveillants - mais cela est presque identique à tout processus malveillant. Celui-ci aura probablement un nom douteux ou un nom similaire à celui d'un processus système. Cependant, les processus système ne monopolisent que rarement 80 % de la puissance du processeur - donc un processus de cette qualité appartient à un logiciel malveillant.
Comment détecter les mineurs de cryptomonnaie?
Essayer de supprimer manuellement un logiciel malveillant de minage de cryptomonnaie est une mauvaise idée. Bien sûr, vous pourriez réussir, mais cela sera effacé en quelques heures lorsque les résidus du logiciel malveillant que vous avez probablement manqués contacteront le C&C (command and control) et téléchargeront à nouveau le logiciel malveillant. Il est donc préférable d'utiliser une solution anti-malware appropriée pour résoudre rapidement et complètement les problèmes. GridinSoft Anti-Malware est le meilleur choix à cet effet, car il peut détecter les mineurs de cryptomonnaie à la fois en mode proactif et lors des analyses.
Comment prévenir le minage de cryptomonnaie?
La principale méthode de propagation des logiciels malveillants de minage de nos jours est l'utilisation de courriers indésirables. Les escrocs déguisent leurs messages en notifications légitimes, joignent un fichier infecté et les victimes mordent à l'hameçon et infectent ainsi leurs ordinateurs. Par conséquent, il est très important d'être prudent avec les courriers électroniques, en particulier avec leurs pièces jointes, afin d'éviter les logiciels malveillants de minage.