Crypto miners: the rise of a malware empire - Coinhive

Minage de crypto-monnaies : la montée d’un empire malveillant

Pour créer des crypto-monnaies, on doit se servir d’un processus appelé « minage ». Cela signifie que vous pouvez prêter la puissance de calcul de votre ordinateur pour résoudre des équations mathématiques complexes. Mais ce processus de minage dépend de deux sources qui sont loin d’être gratuites : une source d’énergie fiable et un équipement puissant.

Tout a déraillé en 2017 avec la montée en flèche des prix des crypto-monnaies. Au début de l’année dernière, un bitcoin valait 1 000 $ et à la fin de l’année il était évalué à environ 18 000 $. Cette augmentation soudaine et impressionnante n’est pas passée inaperçue chez les cybercriminels. Et par cybercriminels, nous entendons les créateurs de malware de manière générale, mais pas seulement, comme vous le verrez plus loin dans cet article. Mais alors qu’est-ce qui peut les pousser à prendre autant de risques, comme risquer leur liberté pour des gains personnels ? L’appât insatiable du gain ferait-il partie de la nature humaine ? Seul le temps nous le dira. La seule chose dont nous pouvons être sûrs est que les activités criminelles sur Internet n’ont jamais été aussi menaçantes.

On peut facilement examiner ce phénomène en examinant la règle générique « PUA/CryptoMiner.Gen ». En janvier 2018, notre protection en temps réel a bloqué 1 893 300 fichiers, en février ce chiffre avait déjà atteint 6 233 300 fichiers et en mars, il avait dépassé la barre des 10 millions pour atteindre 11 453 200 fichiers. D’autres familles de minage sont également détectées par Avira par d’autres règles génériques, signatures ou détections CRC.

Gros-plan sur Coinhive, description et fonctionnement

Comme mentionné plus haut, des sommes conséquentes d’argent se sont soudain retrouvées disponibles, attendant d’être récupérées sur le marché des crypto-monnaies. Il ne restait plus aux personnes mal intentionnées qu’à avoir une idée pour pouvoir empocher leur part du butin. Une idée qui a malheureusement été trouvée dans un service de minage populaire et légitime sur navigateur qu’on appelle Coinhive. Il s’agit d’un mineur de crypto-monnaie JavaScript qui peut être facilement intégré à des sites Internet par leurs administrateurs. Le principe de cette idée est simple comme bonjour : détourner ce JavaScript dans des méthodes de malware.

Coinhive est apparu en septembre 2017 et il mine pour Monero (XMR). À l’origine, il avait été mis en place comme méthode de génération de revenus autre que les publicités, pour les administrateurs de sites Internet. Son workflow consiste à exécuter le script directement dans le navigateur de l’internaute puis à commencer à miner des crypto-monnaies en arrière-plan en utilisant la puissance du CPU. Mais les pirates informatiques se sont emparés de ce service et l’ont déployé sur des sites vulnérables qu’ils avaient exploités et ont ainsi commencé à miner des crypto-monnaies discrètement et de façon anonyme à chaque fois qu’un internaute visitait le site. Évidemment, ils n’ont pas pris la peine de demander leur autorisation aux victimes ni de les informer de leurs manipulations. La puissance se voit dans les chiffres : plus il y a de sites Internet exploités, plus on compte de visiteurs uniques, ce qui signifie davantage de puissance de CPU et évidemment davantage de crypto-dollars.

Du point de vue du pirate, ce montage frauduleux exige peu de ressources et offre la possibilité d’accéder à des sommes colossales, c’est pourquoi il n’a pas fini de gagner du terrain. Mais, quelles sont les conséquences pour les victimes ? Elles peuvent s’attendre à des performances plus faibles de leur appareil, comme le montrent les pics d’utilisation du processeur, voire même une durée de vie plus courte du processeur en raison d’une surchauffe. Le cycle de batterie pourrait également durer moins longtemps sur ces appareils.

Ci-dessous un exemple d’un mineur JavaScript dans sa forme la plus simple :

Crypto miners: the rise of a malware empire - in-post / Coinhive

La première ligne du script commande au navigateur de la victime de télécharger le fichier .js à partir du site de Coinhive. La ligne de variable indique à Coinhive quel compte mine la crypto-monnaie Monero, la clé de site unique et la ligne « miner.start » déclenchent le minage immédiatement.

Évidemment, des fonctionnalités plus avancées peuvent être utilisées dans ces scripts, comme les threads et throttle :

Crypto miners: the rise of a malware empire - in-post

Le throttle fait référence au processus qui régule le débit de traitement de l’application. Ou en termes plus simples, il peut être utilisé pour configurer la puissance de CPU utilisée. Un faible throttle combiné à un chiffre élevé pour les threads produit le maximum d’effet, car ils décident de la puissance de CPU qui sera utilisée dans le navigateur du client.

Il y a quelques mois, le site populaire blackberrymobile.com a ainsi été victime de ces pirates attirés par les gains possibles.

Malheureusement, parce que les sommes d’argent pouvant être « gagnées » en un temps record sont colossales et que les coûts de départ sont proches de zéro, il n’y a pas que les pirates qui souhaitent empocher leur part du gâteau. Le site de torrent très connu The Pirate Bay fait partie de ceux ayant utilisé le code Coinhive sans informer les internautes qu’il utilisait leurs navigateurs pour miner des crypto-monnaies. C’est une action qui n’a pas pu être directement reliée à des pirates, mais bien à l’administrateur du site Internet.

Ce genre d’attaques était configuré pour fonctionner sur toutes les plateformes, Windows, Linux et macOS. Coinhive a également été implémenté pour fonctionner sur les appareils mobiles. Plusieurs applications utilisant cette technologie de minage ont été trouvées sur le Google Play Store et ces activités furtives se déclenchaient directement après l’installation.

Certaines publicités malveillantes ont également fait leur apparition sur YouTube après qu’un créateur mal intentionné ait réussi à y injecter un script de minage. Heureusement, YouTube a détecté le problème et l’a corrigé en quelques heures.

Comment peut-on protéger son appareil de ces attaques ?

  • Utilisez un antivirus : Avira par exemple, détecte et bloque ce type d’attaques malveillantes.
  • Désactivez totalement JavaScript ou activez-le seulement lorsque c’est nécessaire. Nous vous conseillons d’exécuter un outil de blocage de script appelé NoScript, qui permet d’activer ou de désactiver rapidement JavaScript.
  • Avec l’aide du Gestionnaire des tâches de Windows ou du « Process Explorer », vous pouvez surveiller l’utilisation de votre CPU régulièrement pour voir s’il y a des pics suspects dans l’activité. Dans ce cas, cela pourrait indiquer un minage en arrière-plan. « Activity Monitor » est une autre application pour Mac.
  • Utilisez une extension de navigateur comme No coin pour bloquer le minage de crypto-monnaies. Elle fonctionne sur Chrome et Firefox, mais n’est pas prise en charge sur Microsoft Edge, Apple Safari et Internet Explorer.

Réflexions personnelles

Réfléchissez à deux fois avant d’investir dans ces monnaies car le marché de la crypto-monnaie approche de la saturation. Le bitcoin est la crypto-monnaie la plus ancienne et la plus chère. Ses hauts et ses bas ont un impact sur l’état de toutes les autres crypto-monnaies.

Cet article est également disponible en: AnglaisAllemandItalien

Virus Analyst