Selon Cointelegraph, des chercheurs en cybersécurité ont découvert une nouvelle méthode utilisée par les pirates informatiques pour diffuser des logiciels malveillants destinés à l’extraction secrète de cryptomonnaies, en utilisant des réponses automatiques par courrier électronique. Des chercheurs de la société de renseignement sur les menaces Facct ont signalé que des pirates informatiques exploitaient les e-mails de réponse automatique provenant de comptes compromis pour cibler des entreprises, des marchés et des institutions financières russes. Les attaquants avaient pour objectif d’installer le mineur XMRig sur les appareils de leurs victimes pour exploiter des actifs numériques.
Depuis la fin du mois de mai, Facct a identifié 150 e-mails contenant XMRig. Cependant, l'entreprise de cybersécurité a également noté que son système de protection des e-mails professionnels bloquait avec succès les e-mails malveillants envoyés à ses clients. Dmitry Eremenko, analyste senior chez Facct, a souligné le danger de cette méthode de diffusion, expliquant que les victimes potentielles initient les communications. Contrairement aux messages envoyés en masse, qui peuvent être ignorés, les réponses automatiques proviennent des contacts dont les victimes s'attendent à recevoir des nouvelles, ce qui rend la diffusion du malware moins suspecte.
L’entreprise de cybersécurité a recommandé aux entreprises de dispenser régulièrement des formations pour accroître les connaissances de leurs employés en matière de cybersécurité et de menaces actuelles. Elle a également recommandé l’utilisation de mots de passe forts et de mécanismes d’authentification multifactorielle. Le hacker éthique Marwan Hachem a suggéré d’utiliser différents appareils de communication pour isoler les logiciels indésirables et empêcher les pirates d’accéder à l’appareil principal.
XMRig est une application open source légitime qui exploite le jeton de cryptomonnaie Monero (XMR). Cependant, les pirates informatiques ont intégré le logiciel dans leurs attaques, utilisant diverses tactiques pour installer l'application sur différents systèmes depuis 2020. En juin 2020, un malware appelé « Lucifer » a ciblé d'anciennes vulnérabilités des systèmes Windows pour installer l'application d'extraction XMRig. En août 2020, un botnet de malware appelé « FritzFrog » a été déployé sur des millions d'adresses IP, ciblant les bureaux gouvernementaux, les établissements d'enseignement, les banques et les entreprises pour installer l'application XMRig.