Plus de 50 sites Web proposent un MSI Afterburner manipulé. Cela recharge non seulement un mineur XMR, mais vole également des données d’accès.

Les chercheurs en sécurité ont découvert une version manipulée de l’outil MSI Afterburner, très populaire parmi les joueurs, avec lequel les attaquants distribuent non seulement l’infostealer RedLine sur les ordinateurs de leurs victimes, mais aussi un mineur pour la crypto-monnaie XMR. Étant donné que peu de programmes antivirus ont jusqu’à présent reconnu le malware, les utilisateurs doivent rester vigilants.

Un outil indispensable pour de nombreux gamers : le MSI Afterburner

Ce n’est pas pour rien que le MSI Afterburner est très apprécié des gamers. Car cet outil utile permet parfois à l’utilisateur d’overclocker son processeur graphique, de le sous-voltager et d’influencer le comportement du ventilateur de sa carte graphique. Et l’outil fournit également un logiciel de surveillance des températures, des fréquences d’horloge et de l’utilisation du CPU et du GPU.

Donc, si vous souhaitez ajuster votre PC de jeu pour des performances maximales, une consommation d’énergie minimale ou un faible bruit de fond, vous pouvez difficilement éviter ce programme. Et même si son nom suggère le contraire, l’outil prend en charge bien plus que les cartes graphiques MSI. Il n’est donc pas étonnant que des millions de joueurs à travers le monde l’utilisent.

Mais cela fait également des utilisateurs de MSI Afterburner un groupe cible intéressant pour les attaquants. Parce que de nombreux utilisateurs de cet outil disposent d’un matériel PC puissant qui peut être particulièrement bien utilisé pour extraire des crypto-monnaies.

Plus de 50 faux sites Web distribuent un outil GPU malveillant

Les chercheurs en sécurité de Cyble ont découvert plus de 50 sites Web proposant de faux MSI Afterburner au cours des trois derniers mois. Les attaquants l’utilisent pour introduire clandestinement un mineur Monero (XMR) avec un voleur d’informations dans les systèmes de nombreux joueurs.

Certaines des pages Web ressemblent à une copie de la véritable page de téléchargement de MSI Afterburner. D’autres, en revanche, ne présentent aucune ressemblance avec l’original. Apparemment, les acteurs malveillants tentent de diffuser leur faux en utilisant différentes tactiques.

En principe, le vrai MSI Afterburner est toujours inclus dans les fichiers d’installation proposés. En conséquence, l’outil répond aux attentes des utilisateurs et peut lancer d’autres actions en arrière-plan sans être remarqué.

Le mineur Monero travaille discrètement en arrière-plan

Un “browser_assistant.exe” à partir d’un référentiel GitHub. Il injecte le mineur directement dans la mémoire du processus explorer.exe afin de ne pas être détecté et de ne pas se retrouver sur le disque dur en premier lieu. Le logiciel se connecte ensuite au pool de minage de l’attaquant en utilisant les données d’accès stockées dans le code source.

Pour que l’activité du mineur contenue dans le MSI Afterburner ne soit pas remarquée, il ne commence à miner Monero qu’après que le CPU a été inactif pendant 60 minutes. Cela signifie qu’il y a une forte probabilité que l’ordinateur soit sans surveillance pendant l’exploitation minière.

Afin d’éviter une lutte pour les ressources système et en même temps de ne pas être détecté par des outils antivirus ou des programmes de surveillance, le XMR-Miner peut être désactivé automatiquement à l’aide d’un paramètre d’appel spécial dès que l’utilisateur démarre certains programmes. La mémoire GPU est également nettoyée.

Seuls quelques programmes antivirus reconnaissent le MSI Afterburner manipulé

Alors que le mineur exploite assidûment XMR pour les attaquants, le voleur d’informations RedLine, qui est également inclus, collecte des données en arrière-plan. Qu’il s’agisse de mots de passe, de cookies, de données de navigateur ou de portefeuilles cryptographiques. Ce malware, qui a également tourmenté les clients de 2K Games, emporte tout avec lui.

Selon BleepingComputer, la détection du MSI Afterburner manipulé par les programmes antivirus a jusqu’à présent été insuffisante. Seuls trois produits de sécurité sur 58 détectent le faux fichier de configuration. La « browser_assistant.exe» n’en reconnaissaient que quatre sur 72.

Les joueurs qui souhaitent se protéger d’une attaque doivent toujours s’assurer de ne télécharger le MSI Afterburner qu’à partir du site Web de MSI.