Cryptojacking

Le cryptojacking est une activité malveillante, dans laquelle un appareil infecté est utilisé pour miner secrètement des crypto-monnaies. Pour ce faire, l'attaquant utilise la puissance de traitement et la bande passante de la victime (dans la plupart des cas, cela se fait à son insu et sans son consentement).

En général, les logiciels malveillants de minage de cryptomonnaie responsables de ces activités malveillantes sont conçus pour utiliser juste assez de ressources système pour passer inaperçus le plus longtemps possible.

Comme le minage de crypto-monnaies nécessite une grande puissance de traitement, les attaquants essaient de s'introduire dans plusieurs appareils. De cette façon, ils sont en mesure de rassembler suffisamment de ressources informatiques pour effectuer des activités de minage à faible risque et à faible coût.

Les versions antérieures des logiciels malveillants de minage dépendaient du fait que les victimes cliquent sur des liens malveillants ou des pièces jointes d'emails, infectant accidentellement leur système avec un crypto-miner caché.

Cependant, des types plus sophistiqués de ces logiciels malveillants ont été développés au cours des deux dernières années, portant l'approche du cryptojacking à un tout autre niveau.

Actuellement, la majorité des logiciels malveillants d'exploitation minière s'exécutent par le biais de scripts mis en œuvre sur des sites Web. Cette approche est connue sous le nom de cryptojacking basé sur le Web.

Cryptojacking sur Internet

Le cryptojacking basé sur le Web (aussi appelé cryptomining drive-by) est la forme la plus courante de malware de cryptomining. En général, cette activité malveillante est exécutée par le biais de scripts qui s'exécutent sur un site Web, permettant au navigateur de la victime d'extraire automatiquement des cryptomonnaies pendant la durée de la visite. De tels mineurs Web sont secrètement mis en œuvre dans une grande variété de sites Web, indépendamment de leur popularité ou de leur catégorie.

Dans la plupart des cas, Monero est la crypto-monnaie de choix car son processus de minage ne nécessite pas d'énormes quantités de ressources et de puissance de traitement comme le minage du Bitcoin. En outre, Monero offre des niveaux accrus de confidentialité et d'anonymat, rendant les transactions beaucoup plus difficiles à repérer.

Contrairement aux ransomwares, les logiciels malveillants de cryptomining compromettent rarement l'ordinateur et les données qui y sont stockées. L'effet le plus notable du cryptojacking est la réduction des performances du processeur (généralement accompagnée d'une augmentation du bruit du ventilateur). Toutefois, pour les entreprises et les grandes organisations, la réduction des performances de l'UC peut entraver leur travail, ce qui peut entraîner des pertes considérables et des opportunités manquées.

CoinHive

L'approche web du cryptojacking a été vue pour la première fois en septembre 2017, lorsqu'un crypto-miner appelé CoinHive a été officiellement rendu public. CoinHive consiste en un crypto-miner JavaScript qui aurait été créé pour servir une noble cause : permettre aux propriétaires de sites Web de monétiser leur contenu librement disponible sans s'appuyer sur des publicités déplaisantes.

CoinHive est compatible avec les principaux navigateurs et est relativement facile à déployer. Les créateurs conservent 30 % de toutes les cryptocurrencies minées grâce à leur code. Il utilise des clés cryptographiques afin d'identifier quel compte utilisateur doit recevoir les 70% restants.

Bien qu'il ait été présenté au départ comme un outil intéressant, CoinHive a fait l'objet de nombreuses critiques, car il est désormais utilisé par des cybercriminels pour injecter de manière malveillante le mineur dans plusieurs sites Web piratés (à l'insu de leur propriétaire et sans son autorisation).

Dans les quelques cas où CoinHive est intentionnellement mis en œuvre pour de bon, le JavaScript de cryptojacking est configuré comme une version Opt-In appelée AuthedMine, qui est une version modifiée de CoinHive qui ne commence à miner qu'après avoir reçu le consentement du visiteur.

Sans surprise, AuthedMine n'est pas adopté à la même échelle que CoinHive. Une recherche rapide sur PublicWWW montre qu'au moins 6 400 sites web utilisent CoinHive (dont 2 810 sont des pages WordPress). D'autre part, AuthedMine a été mis en œuvre par environ 550 sites web.

Au cours du premier semestre 2018, CoinHive est devenu la principale menace de malware suivie par les programmes antivirus et les entreprises de cybersécurité. Toutefois, des rapports récents indiquent que le cryptojacking n'est plus la menace la plus répandue, les première et deuxième positions étant désormais occupées par les chevaux de Troie bancaires et les attaques de ransomware.

La montée et le déclin rapide du cryptojacking peuvent être liés au travail des entreprises de cybersécurité, car de nombreux codes de cryptojacking figurent désormais sur une liste noire et sont rapidement détectés par la plupart des logiciels antivirus. En outre, des analyses récentes suggèrent que le cryptojacking basé sur le web n'est pas aussi rentable qu'il n'y paraît.

Exemples de cryptojacking

En décembre 2017, le code CoinHive a été implémenté silencieusement dans le réseau WiFi de plusieurs magasins Starbucks à Buenos Aires, comme l'a signalé un client. Le script minait Monero grâce à la puissance de traitement de tout appareil qui y était connecté.

Début 2018, il a été constaté que le mineur CoinHive fonctionnait sur les publicités YouTube par le biais de la plateforme DoubleClick de Google.

En juillet et août 2018, une attaque de cryptojacking a infecté plus de 200 000 routeurs MikroTik au Brésil, injectant du code CoinHive dans une quantité massive de trafic web.

Comment détecter et prévenir les attaques de cryptojacking ?

Si vous pensez que votre processeur est utilisé plus que la normale et que ses ventilateurs de refroidissement font du bruit sans raison apparente, il y a de fortes chances que votre appareil soit utilisé pour le cryptomining. Il est important de savoir si votre ordinateur est infecté ou si le cryptojacking est effectué par votre navigateur.

Si le cryptojacking basé sur le Web est relativement facile à découvrir et à arrêter, les logiciels malveillants de minage qui ciblent les systèmes et les réseaux informatiques ne sont pas toujours faciles à détecter, car ils sont généralement conçus pour être cachés ou masqués comme quelque chose de légitime.

Il existe des extensions de navigateur capables d'empêcher efficacement la plupart des attaques de cryptojacking basées sur le Web. Outre le fait qu'elles sont limitées aux mineurs en ligne, ces contre-mesures sont généralement basées sur une liste noire statique, qui peut rapidement devenir obsolète à mesure que de nouvelles approches de cryptojacking sont déployées. Par conséquent, il est également recommandé de maintenir votre système d'exploitation à jour, ainsi qu'un logiciel antivirus actualisé.

Lorsqu'il s'agit d'entreprises et de grandes organisations, il est important d'informer et d'éduquer les employés sur les techniques de cryptojacking et de phishing, telles que les courriels frauduleux et les sites Web frauduleux.

Résumé

• Faites attention aux performances de votre appareil et à l'activité du processeur.
• Installez des extensions de navigateur Web, telles que MinerBlock, NoCoin et Adblocker.
• Soyez prudent avec les pièces jointes et les liens des courriels.
• Installez un antivirus digne de confiance et maintenez vos applications logicielles et votre système d'exploitation à jour.
• Pour les entreprises : enseignez à vos employés les techniques de cryptojacking et de phishing.