Monero Mining Botnet Est Désormais Capable De Voler Vos Mots De Passe

Des chercheurs découvrent une capacité de vol de mot de passe du ver de crypto-minage TeamTnTLa société de cybersécurité Unit 42 a découvert une nouvelle version du botnet de minage de crypto-monnaie appelé TeamTnT qui vole les mots de passe d’un ordinateur compromis, selon son rapport du 5 octobre.

De cette manière, TeamTnT continue de diversifier les capacités de ses logiciels malveillants au-delà de la pièce de confidentialité minière furtive Monero (XMR).

Les mauvais acteurs derrière le botnet utilisent les équivalents du populaire outil de grattage de mots de passe Mimikatz.

Surnommée «Black-T», la nouvelle variante du botnet envoie les mots de passe volés à un nœud de commande et de contrôle (C2) contrôlé par le groupe de piratage TeamTnT:

Tous les mots de passe identifiés qui ont été obtenus via des mimipenguins sont ensuite exfiltrés vers un nœud de commande et de contrôle TeamTnT (C2). C’est la première fois que des acteurs de TeamTnT sont témoins d’inclure ce type d’opération post-exploitation dans leurs TTP.

Selon l’Unité 42, des traces d’autres processus de cryptojacking, tels que le mineur de vers Crux, ont été détectées dans le code de Black-T:

Avec l’inclusion de ces processus potentiels de cryptojacking trouvés dans le malware Black-T, il semblerait que ces processus de cryptojacking soient connus des auteurs de TeamTnT comme étant en concurrence pour les ressources de traitement cloud. Cela indiquerait également qu’il existe plusieurs processus de cryptojacking actuellement inconnus des équipes de défense et que des efforts devraient être déployés pour identifier et élaborer des règles d’atténuation pour ces processus de cryptojacking actuellement inconnus.

Le C2 du groupe serait hébergé par une société basée en Allemagne. Il est à noter que Black-T et d’autres scripts malveillants attribués au groupe contiennent des phrases en allemand.

Le code du ver Monero-mining attribué au groupe TeamTnT a été découvert pour la première fois en mai.

Les chercheurs de Cado Security ont découvert plus tard que TeamTnT était également capable de voler les informations d’identification Amazon Web Services (AWS) des serveurs compromis. Des parties du code d’un autre ver de cloudjacking Kinsing ont été trouvées dans l’exploit.

Les cryptojackers sont de plus en plus sophistiqués. Comme rapporté par PassionCrypto, le botnet Stantinko a commencé à mettre en œuvre de nouvelles techniques d’obscurcissement pour l’extraction illégale de XMR plus tôt cette année.

Laisser un commentaire