Lucifer un malware hybride pour le DDoS et le cryptominage.

mer 01 Juil 2020 ▪ 22h28 ▪ 4 min de lecture - par Hellmouth Banner

Les chercheurs de l’unité 42 (recherche et évaluation des cybermenaces) de la
société américaine Palo Alto Network ont découvert fin mai 2020 une nouvelle
variante d’un malware hybride de cryptominage apparue à la suite d’une faille de
sécurité critique de Windows (CVE-2019-9081). Surnommé Lucifer ce malware est
capable de déclencher des attaques de déni de service . Une première vague
d’attaque stoppée le 10 juin 2020 a repris de plus belle dés le lendemain en diffusant
une version améliorée du malware.
C’est effectivement ce même 11 juin que les chercheurs de Palo Alto Network ont
identifié non seulement Xmrig ( le cheval de Troie initialement open source et choisi par
les cryptomineurs), mais également un certain nombre d’autres ingrédients destinés à
stimuler ses possibilités. Le programme opensource va également être de type « comand
& control » pour une meilleure propagation mais il va également être capable de lancer un
certain nombre d’exploits développés par la NSA (Double Pulsar, Eternal Blue et Eternal
Romance).La campagne d’infection continue toujours.

De Scarlett Johansson à Lucifer

Le hack de cryptomonnaie n’est hélas pas une nouveauté et depuis juin 2019, date du
piratage du site de Monero, les malwares de minage de cette crypto monnaie se comptent
par dizaines voire par centaines . On se souviendra du malware caché dans la photo de
Scarlett Johansson et contenant un payload binaire caché : « hidden binary payload » 1 .

Preuve s’il en était que les pirates misent beaucoup sur nos
émotions masculines.
Plus sérieusement, une fois téléchargé le malware crée une
adresse IP C2 (Command & Control) puis l’utilise pour créer et
renommer une version mutant de lui même.

Le malware va ensuite changer la clé de registre et
périodiquement s’assurer un meilleur ancrage en renforçant sa
présence dans le registre. Une fois bien installé le bougre va
ensuite vérifier s’il existe des informations relatives à la
présence de protocole de minage , notamment Stratum que l’on
peut trouver sous cette forme dans le registre :

HKLMSoftwareMicrosoftWindowsCurrentVersionspreadCpuXmr -%stratum info %
Comme un « bonheur » n’arrive jamais seul, Lucifer scanne les ports des machines non
mises à jours pour les infecter et en faire des zombies (nom donnés au ordinateurs faisant
1 Un payload (traduit en français par charge utile) désigne ce qu’un paquet réseau transfère pour le
compte de son émetteur. Cela désigne également ce qui permet l’activité malicieuse d’un virus
(formatage du disque etc) . Source : http://jargonf.org/wiki/payload
Figure 1: Image
originelle mise en ligne
par les pirates

partie d’un botnet). Une fois qu’il a établi une liaison TCP (protocole de transmission
internet) il sauvegarde cette même connexion pour un contrôle C2 ultérieur et pour un
rapport d’état du minage.
Enfin suprême délicatesse du malware , Lucifer version 2 possède une protection anti
analyse et vérifie les données personnelles du PC. S’il trouve des noms propres à des
logiciels d’analyses il cesse son activité.
Le vieux Nietzsche avait raison : « le diable se cache dans les détails ». S’il fallait
une preuve de plus et même si vous l’avez lu des dizaines de fois : procédez aux
mises à jours de sécurité, il en va de votre wallet.

Sources : https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-
malware/
https://www.hackread.com/lucifer-malware-windows-ddos-attack-nsa-exploits/

Recevez un condensé de l’actualité dans le monde des cryptomonnaies en vous abonnant à notre nouveau service de newsletter quotidienne et hebdomadaire pour ne rien manquer de l’essentiel Cointribune !

Hellmouth Banner

Crypto-enthousiaste de la deuxième heure, rien n’a plus d’importance à mes yeux que d’accompagner l’adoption globale et la démocratisation des trésors que nous propose la blockchain.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.