Le « minage » est cette opération, qui moyennant rémunération, permet de mettre à jour les blockchains des participants à une économie de type monnaie cryptographique. Un malware qui exploite la même faiblesse « Eternal Blue » des PC sous Windows, que les tristement célèbres WannaCry et NotPetya, mais cette fois pour faire du minage contre notre gré et pour le compte de criminels. Original, mais tout aussi énervant.

Une faille qu’il aurait fallu corriger

Ce nouveau malware porte le nom de Coinminer. Il s’agit d’un malware « fileless » (sans fichier), qui s’exécute en mémoire, en fait des scripts WMI (Windows Management Instrumentation), qui sont des scripts basés sur la technologie COM et sur des objets SWbemxxxx pour encapsuler les appels COM et IWbemxxxx pour certaines interfaces. Ce malware tire profit d’une très grosse faille des WMI sous Windows, « Eternal Blue », qui pourtant a été corrigée dès le mois de mars 2017. Ce qui met en évidence, au passage, que de nombreuses entreprises continuent d’être laxistes en termes de sécurité et ne suivent pas suffisamment l’actualité, jusqu’au jour où ils sont pris au piège…

Normalement le mécanisme WMI est destiné, via des scripts, à surveiller les ressources mises en œuvre sous Windows. Le système est bien connu des administrateurs et surtout est pratiqué depuis de nombreuses années.

L’attaque Coinminer a également utilisé une forme particulière de scripts, dite WSH (Windows Script Host), qui est une sorte de plate-forme d’exécution de ces scripts, quel que soit le langage utilisé, VBScript, Perl, etc, avec un modèle objet spécifique pour interagir avec les commandes Windows.

Il faut bien voir que WMI et WSH sont des vieilles technologies, mais qui continuent d’être utilisées aujourd’hui, alors que les failles de sécurité n’ont pas été ou insuffisamment traitées.

Concrètement, tout cela se traduit par l’établissement de liens entre les objets WMI et WSH avec des scripts malicieux, pour que dès qu’un appel au gestionnaire de ressources système est effectué, les scripts « criminels » s’exécutent. D’où l’idée du malware « fileless ».

Pour se protéger contre cette attaque, le mieux est de ne plus faire appel, si c’est possible, aux WMI et de procéder à la désactivation du protocole SMBv1, tant qu’un patch n’aura pas été passé pour supprimer la faille « Eternal Blue ».

Coinminer met en œuvre une procédure sophistiquée de pollution de votre machine, par le biais de scripts WMI malicieux. C’est ce que montre ce schéma.
Une sorte de botnet dédié

Si votre ordinateur a été infecté par le coinminer, vous allez participer sans le savoir à des opérations de minage, c’est-à-dire de calcul de hash, pour le compte d’un pirate, qui lui, récupèrera le prix de votre intervention. C’est donc bien une sorte de botnet, qui ne casse rien et ne fait pas de déni de service, mais dont la procédure n’en est pas moins, fortement désagréable.

En définitive, soyez vigilants et surtout n’attendez pas pour passer les patchs qui vous sont proposés.