Des chercheurs de la société de cybersécurité basée en Israël, Check Point Software Technologies, affirment qu’une forme relativement nouvelle de malware pour la crypto-extraction, baptisée KingMiner, « évolue ».
Dans une note de recherche publiée jeudi, Ido Solomon et Adi Ikan, ont déclaré que KingMiner, un programme malveillant de crypto-extraction apparu il y a environ six mois, évolue dans le temps pour éviter toute détection, remplaçant même les anciennes versions d’elle qu’il rencontre sur des machines hôtes.
Les chercheurs ont déclaré:
« Le logiciel malveillant ajoute continuellement de nouvelles fonctionnalités et des méthodes de contournement pour éviter l’émulation. Principalement, il manipule les fichiers nécessaires et crée une dépendance qui est critique lors de l’émulation. »
À la suite de ces tactiques, les systèmes de sécurité détectent également les programmes malveillants à un rythme « considérablement » réduit.
Le logiciel malveillant cible généralement les serveurs Microsoft (principalement IIS \ SQL) et, s’il est configuré pour exploiter 75% de la capacité de traitement de la machine victime à des fins d’extraction, il en utilise en réalité 100%.
Pour préserver son secret, KingMiner utilise également un pool d’exploitation minière privé pour éviter toute détection, son API étant également désactivée.
«Nous n’avons pas encore déterminé quels domaines sont utilisés, car il s’agit également d’un reseau privé. Cependant, nous pouvons constater que l’attaque est actuellement très répandue, du Mexique à l’Inde, en passant par la Norvège et Israël », ont déclaré les chercheurs.
Les changements continus permettent aux logiciels malveillants d’être plus efficaces, a-t-il poursuivi, estimant que ces techniques d’évasion continueraient à évoluer en 2019 et à devenir plus courantes parmi les variantes de logiciels malveillants de crypto-extraction.