MSI Afterburner est détourné à des fins malveillantes. Une fausse copie du logiciel abrite un malware qui vole les informations de l'utilisateur et un mineur de crypto-monnaie.
Ce logiciel, au départ légitime et bien pratique, permet aux propriétaires d'une carte graphique (quelle que soit sa marque) de configurer l'overclocking, de contrôler les ventilateurs ou d'accéder à d'autres paramètres. Mais attention à télécharger le bon programme.
Données compromises et détournement des ressources du PC
Ce n'est pas la première fois que MSI Afterburner se retrouve dans la tourmente. Plus d'une cinquantaine de faux sites web copiant la page officielle de MSI ont été mis en ligne au cours des trois derniers mois. Ceux-ci utilisent des noms de domaine qui peuvent laisser penser qu'il s'agit du véritable de MSI, mais il n'en est rien.
Certains de ces sites sont mis en avant par les moteurs de recherche, car les pirates utilisent des techniques de SEO pour être bien référencés. D'autres sont plutôt partagés avec les victimes par d'autres moyens, comme des publications sur les réseaux sociaux, des messages privés ou des forums.
Lorsque le fichier d'installation malveillant (MSIAfterburnerSetup.msi) est exécuté, le système procède à l'installation du programme MSI Afterburner légitime, mais celui-ci est affublé du malware RedLine, spécialisé dans le vol de données, ainsi que du cryptomineur XMR.
Il passe sous le radar des antivirus
RedLine fonctionne en arrière-plan et subtilise en toute discrétion vos mots de passe, cookies, informations de navigateur et les identifiants de certains portefeuilles de crypto-monnaie. Le mineur de crypto XMR, lui, détourne les ressources de votre ordinateur pour miner des crypto-monnaies, ce qui entraîne une baisse des performances du système, une hausse de la consommation énergétique et une potentielle chauffe de l'appareil.
De plus, XMR fonctionne vicieusement. Un exécutable injecte un shellcode dans le processus créé par le programme d'installation. Celui-ci va récupérer le cryptomineur depuis un référentiel GitHub afin de l'intégrer directement en mémoire. Ainsi, puisqu'il ne passe pas par le disque, il est rarement détecté par les suites de sécurité. D'ailleurs, le service VirusTotal fait savoir que sur 56 produits de sécurité répertoriés, seuls trois détectent le logiciel malveillant.
Source : Bleeping Computer