Minas est un logiciel malveillant de cryptominage multi-étapes

Minas, un logiciel malveillant conçu pour l'extraction de crypto-monnaie, est une menace insidieuse qui exploite l'application XMRIG, initialement destinée à l'extraction légitime de Monero. Ce type particulier de malware exerce une pression énorme sur les machines infectées, compromettant ainsi la santé globale du système et de son matériel.

Minas utilise diverses techniques sophistiquées pour échapper à la détection et assurer sa longévité. Son objectif principal est de s'engager dans l'extraction de crypto-monnaies, un processus qui consiste à utiliser la puissance de l'ordinateur pour résoudre des problèmes mathématiques complexes afin de générer de la monnaie numérique.

L'acte d'exploitation minière nécessite un matériel robuste, ce qui incite les cybercriminels à exploiter souvent les appareils de victimes sans méfiance ou à exploiter des botnets entiers à cette fin, plutôt que d'investir dans leur propre équipement.

La chaîne d'infection de Minas, étape par étape

Le résumé de la chaîne d'infection est le suivant :

• Via le planificateur de tâches, un script PowerShell est exécuté, récupérant le fichier lgntoerr.gif à partir d'un serveur distant.
• Lors du déchiffrement, lgntoerr.gif se transforme en une DLL .NET, qui est ensuite chargée.
• La DLL .NET extrait et déchiffre trois fichiers : deux DLL et une charge utile chiffrée, en les plaçant dans le répertoire ProgramData.
• Une tâche est créée par la DLL .NET pour exécuter automatiquement le composant légitime ilasm.exe lors du démarrage du système à l'aide du Planificateur de tâches.
• Le planificateur de tâches lance ilasm.exe à partir du répertoire ProgramData.
• ilasm.exe lance fusion.dll, un pirate de DLL malveillant, résidant également dans le même répertoire.
• fusion.dll charge la deuxième DLL décryptée.
• La deuxième DLL génère un processus dllhost.exe suspendu.
• La charge utile dans le fichier binaire chiffré est déchiffrée par la seconde DLL.
• La charge utile déchiffrée est injectée dans le processus dllhost.exe en tant que DLL.
• L'ID de processus (PID) du processus dllhost.exe est enregistré dans un fichier du répertoire ProgramData.
• Le contrôle est passé à la charge utile déchiffrée dans le processus dllhost.exe.
• La DLL de charge utile extrait et exécute la DLL de mineur dans la mémoire de l'ordinateur.
• Essentiellement, ces étapes décrivent la progression de la chaîne d'infection, chaque étape contribuant à l'exécution du composant mineur malveillant.

Pourquoi les cryptomineurs sont-ils une menace pour le système dans son ensemble ?

En exploitant les ressources système telles que les CPU et les GPU, les cryptomineurs consomment une quantité importante de puissance de calcul pour générer des monnaies numériques. Cette utilisation non autorisée et excessive peut monopoliser jusqu'à 100 % des ressources de l'appareil, entraînant des blocages fréquents du système, des pannes et d'autres problèmes graves qui rendent l'appareil concerné pratiquement inutilisable.

De plus, la sollicitation excessive du système est susceptible de provoquer une surchauffe. Lorsqu'elle est combinée à d'autres facteurs tels qu'une mauvaise ventilation, une température ambiante élevée et des conditions similaires, cette chaleur excessive peut infliger des dommages irréversibles au matériel, en « faisant frire » les composants.

Pour résumer, la présence de Minas ou de logiciels malveillants similaires sur les appareils peut avoir des conséquences désastreuses. Ceux-ci incluent une diminution des performances du système, des défaillances du système, une perte permanente de données, une détérioration du matériel et des pertes financières importantes.