En bref: Si vous avez récemment téléchargé MSI Afterburner, il peut être prudent de vérifier votre système pour tout logiciel malveillant. Les chercheurs ont découvert qu’un grand nombre de sites Web se faisaient passer pour le site officiel de MSI pour inciter les utilisateurs à télécharger des logiciels malveillants parallèlement à l’outil d’overclocking.

Cyble Intelligence et Laboratoire de Recherche (CRIL) a découvert plusieurs campagnes de phishing qui utilisent MSI Afterburner pour fournir des logiciels malveillants de cryptominage XMR (Monero) et de vol d’informations via plus de 50 faux sites Web de répliques.

MSI Afterburner est un utilitaire gratuit qui vous permet d’overclocker, de surveiller, de comparer et de capturer des vidéos. Il fonctionne sur toutes les cartes graphiques, ce qui le rend très populaire pour ceux qui cherchent à extraire chaque goutte de leur GPU. Vous pouvez le télécharger en toute sécurité ici.

2021 05 14 image

Mais cette popularité a poussé les cybercriminels à se tourner vers MSI Afterburner pour diffuser des logiciels malveillants. Le CRIL écrit que les campagnes impliquent des e-mails de phishing, des publicités en ligne et divers autres moyens de diffuser des liens vers les faux sites Web. Certains des noms de domaine incluent msi-afterburner-download.site, msi-afterburner.download et mslafterburners.com.

Quiconque télécharge et exécute le faux fichier d’installation MSI Afterburner constatera que la vraie version du logiciel est installée. Cependant, le programme d’installation ajoute également le logiciel malveillant voleur d’informations RedLine et un mineur XMR à l’appareil.

Comme avec d’autres logiciels malveillants de cryptojacking, le mineur, qui se connecte à un pool de minage pour exploiter Monero à l’aide d’un nom d’utilisateur et d’un mot de passe codés en dur, utilise une énorme quantité de ressources système, ce qui a un impact important sur les performances. Bleeping Computer écrit que le le mineur ne s’active que 60 minutes après que le processeur soit entré en veille, de sorte que l’ordinateur n’exécute aucun programme gourmand en ressources. Cela signifie également que l’appareil a probablement été laissé sans surveillance.

Pendant ce temps, le RedLine Stealer s’exécute en arrière-plan, vole des mots de passe, des cookies, des informations sur le navigateur et (potentiellement) des portefeuilles de crypto-monnaie.

Pire encore, les éléments malveillants des campagnes ne sont détectés que par un petit nombre de programmes antivirus, donc découvrir que vous avez été infecté peut ne pas être aussi simple que d’exécuter un outil de sécurité.

Ce n’est pas la première fois qu’Afterburner est utilisé pour diffuser des programmes malveillants. L’année dernière, MSI a averti les gens de ne pas visiter une copie de son site Web officiel créé par des pirates, qui contenait un logiciel malveillant déguisé en application d’overclocking.