Digmine : un bot de minage illicite en balade sur Facebook messenger

Cette année, le minage de cryptomonnaie aura vraiment été décliné à toutes les sauces, tantôt en coulisses des sites à l'insu des visiteurs, parfois volontairement à des fins de charité, ou encore discrètement planqué en pop-up, les crytpos font aussi tellement d'envieux que certains ne s’embêtent même pas avec de telles tactiques et vont plutôt taper directement dans la caisse. Par ailleurs, tout juste hier, un directeur d'un site de change de cryptomonnaie majeur, Pavel Lerner, aurait été kidnappé en Ukraine... Grâces aux cryptos et l’éternelle avidité de l’être humain, nous somme bien à l'aube d'une nouvelle ère dans les pratiques vicieuses et illégales, autant sur le Web que dans le monde bien réel.

On ne sera donc pas trop surpris de voir arriver ce machin baptisé Digmine, originaire de Corée du Sud, depuis répandu un peu partout au travers de pays comme le Vietnam, Azerbaïdjan, Ukraine, Philippines, Thaïlande et Venezuela. C'est Trend Micro qui a flashé Digmine récemment, et estime qu'avec la vitesse à laquelle il se répand, il ne devrait pas tarder à arriver dans d'autres pays.

En plus de l'image ci-dessus pour nous résumer son fonctionnement, Trend Micro précise que Digmine se transmet actuellement uniquement la version desktop de Facebook Messenger. S'affichant comme un prétendu fichier vidéo, le fichier est en réalité un .exe script qui lancera sa machinerie une fois cliqué dessus.

Il téléchargera ensuite ses fonctions via des serveurs C&C (command and control), installera ses données sous le dossier Appdata du PC, puis ajoutera une entrée dans le registre et une extension sous chrome, avec laquelle il saura s'identifier automatiquement si l'utilisateur a opté pour une authentification automatique sur Facebook, et se partagera ainsi de lui-même chez les amis de la victime via le chat. Si nécessaire, le bot est également capable d'ouvrir une fausse page internet de streaming vidéo qui affichera la fameuse fausse vidéo infectieuse.

Le but de Digmine est évidemment de rester aussi longtemps que possible sur le PC infecté et d'exploiter au maximum les capacités en termes de minage de la machine, mais rien dit que le malware ne pourra pas évoluer par la suite, étant donné qu'il saura se  garder a jouer via sa connexion avec les serveurs C&C. Enfin, la portion minage du malware est basée sur une version modifiée de l'outil de minage de Monero open source XMRig.

Pour éviter une infection, Trend Micro recommande de ne pas utiliser Facebook de prendre l'habitude de se déconnecter de la plateforme dès que possible, retirer les applications liées au compte Facebook et d'utiliser un mot de passe costaud. Et puis surtout ne pas cliquer sur tout et n'importe quoi... En  gros, faire preuve d'un peu de bon sens. Alerté par Trend Micro, Facebook a déjà procédé au retrait d'un certain nombre de liens liés au bot, et a depuis mis en place des précautions supplémentaires pour monitorer les liens partagés sur la plateforme sociale. (Source : Trend Micro)