Une nouvelle campagne de minage de Monero utilise le kit d'exploitation RIG et la technique d'injection PROPagate

Une campagne de minage de Monero utilisant le kit d'exploitation RIG a été identifiée. Ce kit est utilisé pour la diffusion de plusieurs logiciels malveillants (le rançongiciel Cerber, le cheval de Troie Grobios…) par le biais de publicités provenant de régies publicitaires légitimes.

En trois étapes, un attaquant pourrait infecter un utilisateur :

  1. L'utilisateur visite un site légitime contenant une balise "iframe" invisible qui le redirige vers une page web hébergeant le kit d'exploitation RIG.
  2. Une fois que l'utilisateur atteint cette page, le kit détermine quelle technique d'injection utiliser pour télécharger la charge utile (ici NSIS Loader). Ainsi le kit peut exploiter :
    • la vulnérabilité CVE-2015-2419 en utilisant un script javascript.
    • la vulnérabilité CVE-2016-0189 en utilisant un script Visual Basic.
    • la vulnérabilité CVE-2018-4878 en utilisant un exploit Flash.
  3. Ensuite, la charge utile est exécutée. En utilisant des techniques d'injection "PROPagate", un mineur de Monero est téléchargé, installé et exécuté sur la machine.

Pour se protéger contre ce type d'attaques, il est conseillé d'utiliser un antivirus disposant d'une fonctionnalité d'analyse heuristique en temps réel et de mettre à jour sa base de signatures régulièrement.