Passer au contenu

Un botnet infecte des milliers de NAS pour générer de la monnaie virtuelle

Avec l’émergence du monero, un concurrent sérieux du bitcoin, l’histoire se répète. Les pirates créent des botnets pour infecter les ordinateurs des particuliers, dont ils utilisent la puissance de calcul pour générer la devise virtuelle.

Possédez-vous un serveur de stockage en réseau Seagate Central ? Si oui, alors il y a de forte chance que votre appareil soit infecté par un malware qui vise à générer des « moneros », la nouvelle cryptomonnaie qui fait fureur dans le darknet. Créée en avril 2014, le monero fonctionne sur le même principe que le bitcoin : chaque transaction est validée par un calcul cryptographique avant d’être inscrite dans un registre partagé et décentralisé (blockchain). Toutefois, le monero utilise un protocole différent que celui du bitcoin qui, selon ses développeurs, assurerait un bien meilleur anonymat. Ce qui le rend particulièrement attractif pour les transactions illégales. Depuis quelques semaines, plusieurs places de marché noir ont adopté le monero comme une alternative au bitcoin.

01net – Méthodes de paiement sur Alphabay, l’une des principales places de marché noire sur le Darknet

Les particuliers sont les victimes collatérales de l’émergence de cette cryptomonnaie. Des pirates tentent d’infecter de manière massive les ordinateurs personnels pour mettre la main sur leur puissance de calcul et, ainsi, générer cet argent virtuel. En effet, chaque validation de transaction est récompensée par l’attribution de monero. Ce phénomène avait déjà existé pour le bitcoin il y a quelques années. L’un des botnets les plus connus était ZeroAccess qui avait infecté plus de 600.000 machines dans le monde et généré 2,7 millions de dollars par an. Mais avec le temps, la génération de bitcoin nécessitait de plus en plus de puissance de calcul, ce qui rendait les appareils particuliers de moins en moins intéressants. Le phénomène avait disparu.

Vos ordinateurs les intéressent

Avec monero, en revanche, les ordinateurs de la maison retrouvent leur utilité. La cryptomonnaie est encore relativement jeune et ne demande pas encore de puissance de calcul exorbitante. Résultat : les botnets de minage sont de retour. « Si des centaines ou des milliers d’appareils sont réunis en pool, cela pourrait être assez pour intéresser les criminels », explique Attila Marosi, un chercheur en sécurité de la société Sophos qui vient d’analyser « Mal/Miner-C ».

Egalement appelé « PhotoMiner », ce malware se diffuse principalement par l’intermédiaire de serveurs FTP mal sécurisés. Il scanne au hasard des adresses IP. S’il trouve un service FTP, il essaye de s’y connecter au travers d’une liste d’identifiants fréquemment utilisés (admin/admin par exemple). Si ça marche, il se copie dans l’un des répertoires, cherche des pages web qui y seraient stockés (.htm ou .php) et les infectent. La prochaine fois qu’un utilisateur consultera cette page, il téléchargera le malware. Celui-ci va alors installer le logiciel de minage en toute discrétion.

GuardiCore – Principe de diffusion/infection de Mal/Miner-C, alias PhotoMiner

L’un des serveurs FTP les plus utilisés par « Mal/Miner-C » est Seagate Central, un serveur NAS domestique qui, par défaut, permet aux utilisateurs d’accéder depuis l’extérieur à un dossier « Public ». Malheureusement, l’appareil est très mal configuré. N’importe qui peut, en réalité, accéder à ce dossier et y déposer des fichiers. Selon M. Marosi, pratiquement tous les Seagate Central ont du coup été infectés. En scannant l’internet, le chercheur a trouvé d’emblée 5137 appareils contaminés.  

Sophos – Répartition des serveurs Seagate Central infectés par Mal/Miner-C

Les pages web infectés de serveurs FTP mal sécurisés ne sont pas les seuls vecteurs d’infection de « Mal/Miner-C ». Selon les chercheurs en sécurité de GuardiCore, si le malware se retrouve au sein d’un réseau local, il est capable de le scanner pour trouver d’autres cibles. Il va ensuite tenter de s’y connecter au travers du protocole Microsoft SMB pour s’y installer.

Tous ces efforts criminels ne sont pas vains. Ayant pu récupérer les adresses des portefeuilles monero des pirates, le chercheur en sécurité de Sophos a pu estimer le « rendement » de leur botnet. Ainsi,  celui-ci permettrait de générer 327 moneros par jour, ce qui représente actuellement 428 euros.  Soit presque 13.000 euros par mois. C’est loin d’être négligeable et pourrait rapidement valoir beaucoup plus si cette nouvelle devise arrive à s’imposer durablement dans le paysage des cryptomonnaies.   

Sources :

Etude Sophos, GuardiCore

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN