Utrecht, le 14 décembre 2017 – Les chercheurs de Kaspersky Lab ont identifié une fraude impliquant la distribution et l’installation secrète d’un logiciel de minage sur l’ordinateur des utilisateurs via un logiciel piraté couramment utilisé pour le travail et les loisirs, comme les éditeurs de photo et de textes par exemple. Les ordinateurs infectés sont ensuite exploités pour créer de la crypto-monnaie, dont tous les profits reviennent aux criminels impliqués.

Alors que le marché de la crypto-monnaie continue d’exploser avec d’énormes augmentations dans le nombre et la valeur des investissements, de plus en plus de criminels gardent également un œil sur son évolution. L’engouement pour la crypto-monnaie est tel que cela joue en effet en leur faveur, leur facilitant la tâche pour duper les utilisateurs lambda qui ne sont pas des informaticiens chevronnés. Ainsi, selon le Kaspersky Security Bulletin, les mineurs de crypto-monnaie sont devenus l’une des tendances majeures en 2017. Cette tendance a d’ailleurs été prédite l’an dernier par les chercheurs de Kaspersky Lab, qui ont observé un retour en force du logiciel de minage en raison de la popularité croissante de Zcash. Un an plus tard, les mineurs sont partout. Les criminels utilisent différents outils et techniques, comme les campagnes d’ingénierie sociale ou l’exploitation de logiciels craqués, afin d’affecter le plus grand nombre d’ordinateurs possible.

Parmi les dernières méthodes de fraude, les experts de Kaspersky Lab ont récemment découvert un nombre de sites web similaires offrant aux utilisateurs diverses options pour télécharger gratuitement des logiciels piratés, tels que des applications et programmes informatiques populaires. Pour inspirer la confiance, les criminels utilisent des noms de domaine similaires à ceux des véritables sites. Après avoir téléchargé un logiciel, l’utilisateur reçoit une archive qui contient également un programme de minage. Celui-ci s’installe ensuite automatiquement, en même temps que le logiciel désiré.

L’archive d’installation inclut des fichiers textes contenant l’information d’initialisation : le portefeuille et les adresses du pool de minage. Un pool de minage est un serveur qui réunit plusieurs participants et répartit la tâche de minage entre leurs ordinateurs. En échange, les participants reçoivent chacun leur part de crypto-monnaie de manière beaucoup plus rapide que si elle était minée uniquement à partir de leur propre ordinateur. En raison de ses particularités architecturales, le minage de bitcoins et des autres crypto-monnaies est actuellement une opération très chronophage nécessitant un grand nombre de ressources. Les pools de ce genre augmentent donc considérablement la productivité et la vitesse de génération des crypto-monnaies.

Une fois installés, les mineurs commencent à opérer silencieusement sur l’ordinateur de la victime, en générant des crypto-pièces pour les criminels. D’après la recherche de Kaspersky Lab, ils utilisent dans tous les cas le logiciel NiceHash, qui a récemment souffert d’une faille de cybersécurité majeure ayant entraîné un vol de crypto-monnaie d’une valeur de plusieurs millions de dollars. Certaines des victimes étaient connectées à un pool de minage du même nom.

En outre, les experts ont découvert que certains mineurs possèdent une fonction spéciale qui permet à l’utilisateur de modifier à distance le numéro du portefeuille, le pool ou le mineur. Cela signifie que les criminels peuvent définir une autre destination de la crypto-monnaie à n’importe quel moment et donc gérer leurs revenus en distribuant les flux de minage entre plusieurs portefeuilles, ou même en faisant travailler l’ordinateur de la victime pour un autre pool de minage.

« Sans être considéré malveillant, le logiciel de minage réduit la performance du système de l’appareil, ce qui affecte inévitablement l’expérience générale de l’utilisateur. De plus, il alourdit la facture d’électricité de la victime, ce qui n’est pas le principal méfait de ce type de fraude, mais qui reste une mauvaise surprise. Bien sûr, certaines personnes peuvent accepter l’idée qu’une personne anonyme s’enrichisse à leurs dépens, mais nous conseillons aux utilisateurs de résister à ces tentatives car cette activité reste frauduleuse, même si elle n’est pas effectuée avec un logiciel malveillant standard, » explique Alexander Kolesnikov, analyste de logiciels malveillants chez Kaspersky Lab.