Attention : votre Microsoft OneDrive pourrait être piraté par un crypto-mineur

La récente fusion d’Ethereum a généralement apporté de mauvaises nouvelles à la plupart des mineurs. Beaucoup étaient occupés à se débarrasser de leurs coûteux GPU juste avant que cela ne se produise. Certains des autres, cependant, ont trouvé d’autres moyens de contourner les dépenses liées à l’achat d’équipements miniers coûteux. Et les infâmes ont tendance à utiliser le cryptojacking, où ils utilisent secrètement l’ordinateur de la victime ou tout autre appareil pour extraire des crypto-monnaies.

Dans le dernier développement de ce type, le fabricant d’antivirus Bitdefender a découvert que OneDrive de Microsoft était utilisé par un groupe d’attaquants à des fins de cryptojacking. La campagne a utilisé un exploit pour intercepter une bibliothèque de liens dynamiques (DLL) ou utiliser une vulnérabilité de chargement latéral dans OneDrive pour effectuer des opérations. Bitdefender a surveillé la campagne entre mai et juillet 2022, et plus de 700 cas de cryptojacking ont été découverts au cours de cette période qui utilisaient des exploits similaires.

Selon le rapport, les attaquants s’appuient sur le fichier secure32.dll écrit de manière malveillante pour infecter les systèmes des victimes potentielles. Il est hébergé dans %LocalAppData%\Microsoft\OneDrive\ pour être chargé avec les processus OneDrive natifs. À des fins de conservation, les attaquants ont configuré le processus OneDrive.exe pour qu’il s’exécute à chaque redémarrage. Une fois infecté, un faux fichier DLL secure32 est utilisé pour télécharger un logiciel de minage sur le système de la victime.

Bitdefender explique :

Les attaquants écrivent un faux secure32.dll dans %LocalAppData%\Microsoft\OneDrive\ en tant qu’utilisateurs non élevés à charger par l’un des processus OneDrive (OneDrive.exe ou OneDriveStandaloneUpdater.exe).

Les attaquants utilisent l’une des dll OneDrive pour sécuriser facilement la sauvegarde car %LocalAppData%\ Microsoft\OneDrive\OneDriveStandaloneUpdater.exe est programmé pour s’exécuter tous les jours par défaut.

Pour rendre la persistance encore plus robuste, les faux droppers secure32.dll définissent également %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe pour qu’il s’exécute à chaque redémarrage à l’aide du registre Windows.

Une fois chargé dans l’un des processus OneDrive, le faux secur32.dll télécharge un logiciel d’extraction de crypto-monnaie open source et l’injecte dans des processus Windows légitimes.

Vous pouvez trouver plus de détails sur la campagne dans le rapport original ici .