Logiciel malveillant BOINC

La protection des appareils contre les menaces de logiciels malveillants est cruciale pour maintenir à la fois la sécurité et les fonctionnalités. Récemment, des cybercriminels ont exploité BOINC (Berkeley Open Infrastructure for Network Computing), un utilitaire légitime pour les projets informatiques distribués, pour exécuter des activités menaçantes sur des systèmes infectés. Notez qu'il ne s'agit pas d'une vulnérabilité dans BOINC lui-même ; au lieu de cela, le malware installe illégalement BOINC pour mener à bien ses opérations.

Installation et exécution

Le malware charge BOINC sur les appareils des utilisateurs sans consentement en utilisant une charge utile tierce. Cette méthode contourne les processus d'installation typiques, garantissant que BOINC est installé subrepticement. Les binaires utilisés proviennent directement du programme d'installation officiel de BOINC 8.0.2, bien que le programme d'installation lui-même ne soit pas directement utilisé dans le processus d'installation.

Opérations menaçantes

Lors de l'installation, le malware lance plusieurs activités dangereuses :

• Création d'un utilisateur Windows masqué : il existe des rapports non confirmés faisant état de la création d'un utilisateur Windows masqué, ce qui pourrait potentiellement faciliter d'autres accès non autorisés.
• Installation du service : des logiciels nuisibles sont installés en tant que service sur les systèmes infectés, bien que des détails spécifiques tels que le nom du service ne soient actuellement pas divulgués.
• Distribution de fichiers : plusieurs copies de BOINC sont téléchargées dans le dossier « C:\USERNAME\AppData\Roaming » et ses sous-dossiers, répartissant ainsi sa présence à travers le système.
• Renommer l'exécutable : les exécutables du client BOINC sont renommés avec des noms de processus système courants tels que ".exe", "gupdate.exe", "SecurityHealthService.exe" et "trustedinstaller.exe". Ce déguisement vise à échapper à la détection et à se fondre dans les processus légitimes.
• Création d'un faux serveur : Un faux serveur BOINC ressemblant au serveur légitime Rosetta@home a été signalé. Bien que son nom ne soit pas divulgué pour des raisons de sécurité, ce serveur imite un projet légitime pour potentiellement tromper les utilisateurs et effectuer des actions non autorisées.

Distribution et impact

La méthode de distribution de ce malware reste floue, les victimes spéculant qu'il pourrait être lié aux connexions aux réseaux Wi-Fi publics. La campagne semble cibler spécifiquement les utilisateurs aux États-Unis, affectant environ 7 000 appareils Windows, comme le rapporte le faux serveur du projet.

Conseils d’atténuation et de suppression

Les chercheurs suggèrent les étapes suivantes pour atténuer l’impact de ce malware :

• Nettoyage du planificateur de tâches : vérifiez et supprimez toutes les entrées du planificateur de tâches qui exécutent du code à partir du dossier « Roaming ». Ces entrées peuvent apparaître déguisées en processus légitimes tels que les mises à jour de Mozilla ou de Google, ou peuvent simplement consister en un trait de soulignement suivi de chiffres.
• Suppression de fichiers : supprimez tous les fichiers indésirables stockés dans le dossier "Roaming" et ses sous-dossiers. Les utilisateurs devront peut-être mettre fin aux processus à l'aide du « Gestionnaire des tâches » pour garantir que tous les fichiers dangereux peuvent être supprimés en toute sécurité.

En prenant ces précautions et en restant vigilants contre les activités et installations suspectes, les utilisateurs peuvent contribuer à protéger leurs appareils contre les impacts de logiciels menaçants comme le malware BOINC.