Les experts de Bitdefender mettent en garde contre une campagne de cryptojacking via une vulnérabilité de chargement latéral de DLL dans Microsoft OneDrive. Bitdefender a déjà détecté 700 instances Microsoft OneDrive attaquées en mai et juin 2022. L'Allemagne est l'un des pays les plus durement touchés.
Le cryptojacking est un danger croissant : les pirates utilisent les ressources des PC ou des appareils mobiles infectés pour utiliser leurs ressources pour leur propre cryptomining. En mai et juin 2022, Bitdefender a détecté une campagne d'attaque mondiale dans laquelle les cybercriminels exploitent les vulnérabilités connues de chargement latéral de DLL dans Microsoft OneDrive pour installer des logiciels malveillants de cryptominage sur les systèmes des victimes. En principe, ils pourraient télécharger n'importe quel logiciel malveillant via la vulnérabilité, y compris les logiciels malveillants.
Logiciel malveillant de cryptominage via la vulnérabilité
Le système d'exploitation Windows et d'autres applications sont construits sur les fichiers DLL qui fournissent ou étendent les fonctionnalités. Dès qu'une application a besoin d'une fonctionnalité dans une DLL spécifique, elle la recherche dans l'ordre prédéfini, d'abord dans le répertoire à partir duquel l'application a été chargée, puis dans le répertoire système, dans le répertoire système 16 bits, dans le répertoire Windows Directory, dans le répertoire actuellement utilisé et plus récemment dans les répertoires répertoriés dans la variable d'environnement Path. Si le chemin complet des fichiers DLL requis n'est pas spécifié, l'application essaie de trouver le fichier sur les chemins décrits. Si des pirates ont implémenté une DLL malveillante sur le chemin de recherche, elle se chargera et s'exécutera silencieusement à la place de l'application dont elle a réellement besoin.
Télécharger des DLL malveillantes via OneDrive.exe
Dans l'attaque analysée par Bitdefender, les attaquants écrivent un faux secure32.dll dans le chemin %appdata%\Local\Microsoft\OneDrive\ sans privilèges spéciaux. Le OneDrive traite OneDrive.exe ou OneDriveStandaloneUpdater.exe puis les charge. Étant donné que %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe est programmé pour s'exécuter tous les jours, les faux fichiers DLL sont désormais persistants sur le système de la victime.
De plus, les attaquants ancrent la fausse DLL dans le système via %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Vous configurez que OneDrive.exe démarre à chaque redémarrage à l'aide du registre Windows. Après avoir chargé le faux secure32.dll via ces processus OneDrive, il recharge le logiciel de cryptominage et l'infecte dans les processus Windows légitimes. De la même manière, les attaquants pourraient tout aussi bien installer des rançongiciels ou des logiciels espions sur les systèmes.
Dans la campagne de cryptomining, les pirates ont diffusé des algorithmes pour miner quatre crypto-monnaies : Etchasch en particulier, ainsi que ethash, ton et xmr. En moyenne, les cybercriminels réalisent un profit de 13 $ par ordinateur infecté. Les victimes constatent des pertes dans les performances des systèmes.
Microsoft : installez OneDrive "par machine".
Les utilisateurs peuvent installer Microsoft OneDrive "par utilisateur" ou "par machine". La valeur par défaut est l'installation "par utilisateur". Dans cette configuration, les utilisateurs sans privilèges spéciaux peuvent écrire dans le dossier dans lequel se trouve OneDrive. Les pirates peuvent déposer ici des logiciels malveillants malveillants, modifier des fichiers exécutables ou les écraser complètement. Microsoft recommande donc d'utiliser le OneDrive "par machine" à installer et fournit des instructions.
Précautions supplémentaires nécessaires
Cependant, l'installation "par machine" n'est pas adaptée à tous les environnements ou à tous les niveaux de privilège. Bitdefender avertit donc les utilisateurs de OneDrive d'être très prudents. La protection antivirus et le système d'exploitation utilisé doivent toujours être mis à jour.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de