Un malware caché dans des jeux piratés désactive les antivirus et mine de la cryptomonnaie

Publié le 28 juin 2021 à 15h12

Des chercheurs d'Avast ont déclaré avoir trouvé un malware qui désactive les antivirus et installe un logiciel pour miner de la cryptomonnaie.

Ce virus se propage à travers des copies illégales de jeux vidéo, ciblant les plus populaires d'entre eux.

Crackonosh, un malware qui désactive des antivirus pour installer un logiciel de minage

Interpelés par des retours d'utilisateurs indiquant qu'Avast avait été supprimé de leur ordinateur, les chercheurs de l'entreprise ont fini par trouver un malware, qu'ils ont nommé « Crackonosh ». Ce virus, caché dans des copies pirates de jeux vidéo populaires, circule selon eux depuis 2018 et a un but principal l'installation d'un logiciel de minage pour récupérer de la cryptomonnaie.

Crackonosh s'installe sur le PC de sa victime durant l'installation du jeu et reste dormant pendant un moment. L'un de ses scripts qui se lance au démarrage, Maintenance.vbs, est doté d'un compteur qui attend le septième ou dixième démarrage du système pour lancer serviceinstaller.msi. Il fait également en sorte qu'au prochain démarrage, le système se lance en mode sans échec.

Quant à serviceinstaller.msi, il ne sert qu'à permettre à serviceinstaller.exe d'être exécuté en mode sans échec, en l'enregistrant comme service. Maintenance.vbs et serviceinstaller.msi sont par la suite supprimés, afin de couvrir leurs traces.

En mode sans échec, les antivirus ne fonctionnent pas et le virus en profite pour désactiver et supprimer Windows Defender pour installer son propre programme imitant l'icône du programme de Microsoft. Il s'occupe également de désactiver les antivirus présents sur l'appareil ainsi que les mises à jour automatiques du système et met en place des systèmes pour pouvoir se mettre à jour, éviter la détection et l'analyse.

Un virus qui se propage par des jeux piratés

L'objectif final de ce malware est l'installation d'un mineur de cryptomonnaie, XMRig. Grâce à ce système, les créateurs de ce virus auraient réussi à récupérer 9 000 XMR depuis juin 2018, qui correspondent à 2 millions de dollars selon le cours actuel. 222 000 systèmes auraient été infectés dans le monde entier.

Avast a trouvé Crackonosh dans les installeurs de 11 jeux piratés, dont GTA V ou encore Les Sims 4, souvent des cibles faciles compte tenu de leur popularité auprès des joueurs. « Ce qu'il faut retenir de tout cela, c'est qu'il n'est pas possible d'obtenir quelque chose pour rien et que lorsque vous essayez de voler un logiciel, il y a de fortes chances que quelqu'un essaie de vous voler », conclut Daniel Benes, l'auteur du papier.

Si vous pensez avoir été infecté par ce malware, Avast détaille comment le détecter et le supprimer du système dans son article, cité en source.

Les jeux piratés concernés par le malware © Avast

Sources : Gizmodo, Avast

Par Fanny Dufour

Piratage / Cybercriminalité

Malware / Ransomware

Crypto-monnaie

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

Kriz4liD

tu payes , mais indirectement

pinkfloyd

Un vrai firewall + une surveillance de l’utilisation cpu devrait permettre a la plupart des gens de détecter cette salop*****, enfin, a ceux qui savent comment faire il est vrai.

Un vrai anti-virus aussi ^^

Johnny6

µTorrent en avait intégré un aussi à un moment donné. Qu’est-ce qu’ils avaient pris dans les dents quand ça s’est su.

bizbiz

C’est Avast ou c’est Clu² qui à un an de retard ? Et il n’y a pas que les jeux qui sont concernés !

https://www.youtube.com/watch?v=MfbE0legFAg

eykxas

Ou alors plus simple, tu ne prends pas de jeux piraté. Hop ! Plus de problème !

ReActif

C’est drôle après coup de faire une recherche des termes « System32\Maintenance.vbs » sur les forums d’entraides et voir la quantité de personnes venant pour un problème de message d’erreur au démarrage indiquant ne pas trouver ce fichier… Et voir que la plupart du temps on leur dit que c’est un problème de Windows, que faut réinstaller ou juste créer un fichier VBS vide du même nom…

Maintenant on sait surtout qu’ils jouaient a certains jeux ^^

ReActif

Un peu des deux, et vu que l’attaque est en connu au moins depuis juin 2018 si on se base sur les gain en XMRig uniquement.

Mais d’expérience, j’ai souvent vu que il semble que les infos ne circulent pas très bien voir pas entre ceux qui connaissent bien les cryptomonnaie ou les methodes fourbes de minages et les experts en securités.

C’est pas la première fois que les sociétés de sécurités découvrent des méthodes une fois qu’elle sont utilisé en masse alors que des mineurs ou passionnés en discutait depuis longtemps sur des sites spécialisés juste sur la base de ‹ est-ce possible › ou le faisait a des échelles plus réduites.

Si on prend en comtpe que meme Microsoft sur son site ne semblait pas connaitre l’attaque encore recemment vu que des questions spécifiques sur des problèmes de Maintenance.vbs indiqué comme absent au boot, etait indiqué souvent comme une problème de Windows et donc cela avait tendance a rassurer les personnes que ce fichier etait legitime et l’erreur non grave.

Ben quand un membre de Microsoft repond que pour réglé ce souci suffit de créer un VBS du même nom et vide, ca montre combien il n’y a pas eu même la recherche de ce qu’etait ce fichier en premier lieu ou une méprisé de son contenu (existerai il un fichier du même nom possiblement present, c’est possible aussi)