Les services de streaming de pirates et les sites de piratage de films ont connu une énorme augmentation du trafic entrant pendant la pandémie de COVID-19, la plupart des gens devant maintenant rester à l’intérieur en raison de l’abri en place et des ordres de verrouillage.

Microsoft avertit que les acteurs malveillants profitent de cette tendance en essayant d’infecter les victimes potentielles avec des logiciels malveillants fournis via de faux torrents de films.

« Le verrouillage étant toujours en place dans de nombreuses régions du monde, les attaquants font attention à l’augmentation de l’utilisation des services de streaming pirate et des téléchargements de torrent », a déclaré l’équipe Microsoft Security Intelligence. m’a dit.

« Nous avons vu une campagne de mineur de pièces active qui insère un VBScript malveillant dans des fichiers ZIP se présentant comme des téléchargements de films. »

De faux films laissant tomber des monnayeurs dans la mémoire

Les attaquants à l’origine de cette campagne ciblent principalement les utilisateurs à domicile vers des entreprises d’Espagne et de certains pays d’Amérique du Sud dans le but final de lancer un coinminer directement dans la mémoire des appareils compromis.

Le VBScript malveillant est camouflé sous la forme de films hollywoodiens populaires tels que John Wick: Chapitre 3 – Parabellum, et il est fourni à l’aide de noms de fichiers tels que « John_Wick_3_Parabellum » et « contagio-1080p », ainsi que des titres espagnols « Punales_por_la_espalda_BluRay_1080p, » « La_hija_de_un_un_un_un_ »et« Lo-dejo-cuando-quiera ».

Une fois que les cibles ont lancé le VBScript sur leurs ordinateurs, il télécharge des charges utiles malveillantes supplémentaires en arrière-plan en abusant des binaires vivants (LOLbins) tels que l’outil de ligne de commande légitime BITSAdmin.

L’un de ces composants malveillants supplémentaires est un script AutoIT qui décode une DLL de deuxième étape dans la mémoire de l’ordinateur infecté, qui chargera ensuite de manière réfléchie une troisième DLL qui injectera du code d’extraction de pièces dans un processus notepad.exe via le processus de creux.

« L’utilisation de téléchargements de torrent est cohérente avec notre observation selon laquelle les attaquants réorientent les anciennes techniques pour profiter de la crise actuelle », a ajouté Microsoft.

Le VBScript exécute une ligne de commande qui utilise BITSAdmin pour …