Découvert par des chercheurs de l’éditeur d’antivirus Avast, un malware cryptomineur s’invite dans des versions piratées de jeux majeurs. Appelé Crackonosh, il aurait déjà rapporté plus de 2 millions de dollars à ses créateurs.
Au-delà des risques juridiques et techniques, les logiciels “crackés” peuvent contenir des logiciels malveillants tels que des virus, vers, malwares ou chevaux de Troie. Ces dernières années, le minage de cryptomonnaie clandestin ou “cryptojacking” s’est développé. Cette méthode vise à infecter un ordinateur ou un appareil mobile et à utiliser ses ressources pour miner de la cryptomonnaie. Intrigués par des retours d’utilisateurs évoquant la disparition de leur antivirus, des chercheurs d’Avast ont découvert un malware cryptomineur dans des versions piratées de jeux majeurs. Appelé Crackonosh, ce virus circule “depuis au moins le mois de juin 2018” selon l’Avast Threat Labs, qui a publié ses recherches sur ce malware.
L’entreprise à l’origine du logiciel du même nom revient en détail sur le parcours de Crackonosh, de son installation à son installation, en passant par sa suppression. Très complet, ce retour nous apprend que le malware prend son temps avant d’infecter un ordinateur et de se déployer : selon Avast, il se cache dans les versions “crackées” de jeux vidéo populaires comme NBA 2K19, Grand Theft Auto V, Far Cry 5, Les Sims 4 : Saisons, Euro Truck Simulator 2, Les Sims 4, Jurassic World Evolution, Fallout 4 GOTY, Call of Cthulhu, Pro Evolution Soccer 2018 et We Happy Few.
Le malware cryptomineur profite de l’installation du jeu pour se faire une place dans le système. Il met alors en place un compte à rebours (maintenance.vbs) et reste inactif jusqu’au septième ou dixième démarrage avant de s’exécuter via serviceinstaller.msi. Cette action engendre plusieurs conséquences comme le fait de désactiver le mode veille ou faire en sorte que le PC redémarre en mode sans échec. Afin de passer sous les radars, les fichiers serviceinstaller.msi et maintenance.vbs sont supprimés. Ces derniers vont au passage permettre à serviceinstaller.exe de s’exécuter et de fonctionner en mode sans échec en tant que service.
Ce mode sans échec donne la possibilité au malware de se mettre en place pendant que les antivirus ne fonctionnent pas. Crackonosh profite également de la situation pour désactiver et supprimer Windows Defender ainsi que les antivirus éventuellement présents sur l’appareil. En plus d’Avast, les logiciels Adaware, Bitdefender, Escan, F-secure, Kaspersky, McAfee (scanner seulement), Norton, Panda sont cités. En outre, il peut désactiver les mises à jour automatiques pour ne pas être détecté et remplacer l’icône de Windows Defender. Pendant ce temps, le logiciel malveillant continue de se mettre à jour.
“Lorsque vous essayez de voler un logiciel, il y a de fortes chances que quelqu’un essaie de vous voler”
Selon Avast, ce malware cryptomineur aurait rapporté plus de 2 millions de dollars en Monero (XMR) à ses créateurs en infectant 220 000 systèmes dans le monde. L’entreprise estime que l’auteur du malware pourrait être Tchèque et que Crackonosh est surtout présent aux Philippines (18 448 systèmes touchés), au Brésil (16 584), en Inde (13 779), en Pologne (12 727) et aux États-Unis (11 856). La France est aussi concernée avec 7 205 systèmes infectés et recensés par Avast, soit un peu moins que le Royaume-Uni (8 946 systèmes infectés) ou l’Italie (8 833). Dans une moindre mesure, nos voisins espagnols (2 281), allemands (1 799) et belges (1 815) sont également impactés.
Pour Daniel Beneš, d’Avast, la découverte de ce malware rappelle les risques liés au téléchargement illégal. “Tant que les gens continueront à télécharger des logiciels ‘crackés’, des attaques comme celles-ci continueront à être rentables pour les attaquants. Ce qu’il faut retenir de tout cela, c’est qu’on ne peut vraiment pas avoir quelque chose pour rien et que lorsque vous essayez de voler un logiciel, il y a de fortes chances que quelqu’un essaie de vous voler”, explique-t-il.
