{"id":10782,"date":"2018-08-03T09:06:18","date_gmt":"2018-08-03T09:06:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10782"},"modified":"2019-11-22T08:57:33","modified_gmt":"2019-11-22T08:57:33","slug":"powerghost-fileless-miner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/powerghost-fileless-miner\/10782\/","title":{"rendered":"PowerGhost : Attention au minage fant\u00f4me"},"content":{"rendered":"

Nos experts ont r\u00e9cemment trouv\u00e9 un mineur<\/a> qui se concentre principalement sur les r\u00e9seaux d\u2019entreprise. PowerGhost est un malware sans fichier, ce qui lui permet de s\u2019installer dans les postes de travail ou serveurs des victimes en toute discr\u00e9tion. La plupart des attaques que nous avons d\u00e9tect\u00e9es ont eu lieu en Inde, Turquie, Br\u00e9sil et Colombie.<\/p>\n

Apr\u00e8s avoir r\u00e9ussi \u00e0 entrer dans l\u2019infrastructure de l\u2019entreprise, PowerGhost essaie de se connecter aux comptes utilisateurs du r\u00e9seau en utilisant l\u2019outil l\u00e9gitime d\u2019administration \u00e0 distance, Windows Management Instrumentation (WMI). Le malware obtient les identifiants et mots de passe gr\u00e2ce \u00e0 un outil qui extrait les donn\u00e9es, Mimikatz. Le mineur peut aussi se propager \u00e0 travers l\u2019exploit<\/a> de Windows EternalBlue, que les cr\u00e9ateurs de WannaCry<\/a> et ExPetr<\/a> ont d\u00e9j\u00e0 utilis\u00e9. En th\u00e9orie, cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e il y a un an, mais en pratique, cette m\u00e9thode est encore efficace.<\/p>\n

Une fois dans le dispositif de la victime, le malware essaie d\u2019obtenir plus de privil\u00e8ges en utilisant plusieurs vuln\u00e9rabilit\u00e9s du syst\u00e8me d\u2019exploitation (consultez l\u2019article publi\u00e9 sur notre blog Securelist<\/a> pour obtenir plus de d\u00e9tails techniques). Ensuite, le mineur s\u2019implante dans le syst\u00e8me et commence \u00e0 produire de la crypto-monnaie pour ses cr\u00e9ateurs.<\/p>\n

Pourquoi PowerGhost est-il dangereux ?<\/strong><\/p>\n

PowerGhost, tout comme n\u2019importe quel mineur, utilise les ressources de votre ordinateur pour g\u00e9n\u00e9rer de la crypto-monnaie. Cette action r\u00e9duit les performances du serveur et d\u2019autre appareils, mais provoque aussi une usure significativement plus rapide, ce qui engendre des frais de remplacement.<\/p>\n

Cependant, si nous comparons PowerGhost \u00e0 la plupart des programmes similaires, nous observons qu\u2019il est beaucoup plus difficile de le d\u00e9tecter puisqu\u2019il ne t\u00e9l\u00e9charge pas de fichiers malveillants sur l\u2019appareil. Cela signifie qu\u2019il peut fonctionner sur votre serveur, ou poste de travail, sans \u00eatre d\u00e9tect\u00e9 pendant plus longtemps, et par cons\u00e9quent fait davantage de d\u00e9g\u00e2ts.<\/p>\n

De plus, nos experts ont trouv\u00e9 un outil pour les attaques DDoS dans une des versions du malware. L\u2019utilisation des serveurs de l\u2019entreprise pour attaquer une autre victime peut ralentir, voire paralyser les activit\u00e9s op\u00e9rationnelles. Un aspect int\u00e9ressant est la capacit\u00e9 du malware \u00e0 v\u00e9rifier s\u2019il est ex\u00e9cut\u00e9 dans un vrai syst\u00e8me d\u2019exploitation ou dans une sandbox, ce qui lui permet de contourner les solutions de s\u00e9curit\u00e9 standards.<\/p>\n

Anti-PowerGhost<\/strong><\/p>\n

Si vous voulez \u00e9viter les infections et prot\u00e9ger vos \u00e9quipements d\u2019attaques perp\u00e9tr\u00e9es par PowerGhost et des logiciels similaires, vous devriez surveiller minutieusement la s\u00e9curit\u00e9 des r\u00e9seaux d\u2019entreprise.<\/p>\n