Menu Fermer

Les Cryptojacking : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

On connaît tous les malwares de type Trojan Miner qui vise à utiliser l’ordinateur pour miner de la monnaie virtuelle.
En utilisant la CPU de l’ordinateur, ce dernier va miner de la monnaie virtuelle.
L’ordinateur sert donc de ressources pour gagner de l’argent, à l’insu de l’utilisateur.
La dernière trouvaille des JavaScript sur des pages internet qui utilisent le navigateur internet pour miner.
Il s’agit donc de web miner, là aussi sans le consentement des visiteurs que l’on nomme Cryptojacking.

Quelques explications autour de type de cyberattaque qui vont sûrement se répandre de plus en plus.
Si vous êtes curieux et cherchez à comprendre le principe des monnaie virtuelle, rendez-vous sur notre page : Comprendre les crypto-monnaie ou monnaie virtuelle : Bitcoin, Ethereum, etc

Les Cryptojacking : Minage de crypto-monnaie en JavaScript

Principe du Cryptojacking ou Web Miner

Le principe est simple, un code JavaScript inclut dans la page permet d’utiliser le navigateur internet pour miner.
Une connexion vers un site de minage est alors effectuée par le navigateur WEB.
Lorsque le web miner est chargé, les effets sont immédiats sur l’ordinateur puisque firefox.exe ou chrome.exe vont alors monter en CPU, visible sur le gestionnaire de tâches.
Cela peut ralentir les navigateurs internet et l’ordinateur tant que la page internet est ouverte.

Mais surtout, les internautes risque de ne pas comprendre ce qui se passe et vont très probablement en déduire qu’un virus est présent sur leur ordinateur.
Bloquer ces JavaScript n’est pas forcément difficile mais cela peut demander un minimum de connaissances, à moins que des programmes comme Adblock prennent aux sérieux ces menaces.

L’idée de ces web miner est de permettre aux propriétaires des sites internet de gagner de l’argent en utilisant les navigateurs internet des visiteurs, souvent à leurs insu.
Il est fort probable que de futurs sites utilisent ces méthodes pour gagner de l’argent, notamment les sites de streaming illégaux et autres.
En effet, c’est une nouvelle manière de monétiser son site internet en remplacement ou à côté des publicités.
On peut aussi imaginer, à l’avenir, des piratages massifs de sites WordPress ou Joomla pour pousser ces web miner.
Bref, cela ouvre pas mal de portes.

Les campagnes malveillantes des Cryptojacking

Quelques campagnes significatives autour des Cryptojacking ou web miner.

Trojan Miner sur Piratebay

Le site Piratebay a dernièrement ajouté un de ces JavaScript Miner.
Il semblerait plutôt que cela soit en test ou à l’initiative d’un développeur du site.
Il s’agit d’un simple JavaScript utilisant le crypto miner CoinHive.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

CoinHive est un service de crypto-miner pour les sites internet “web-miner”, les propriétaires de Piratebay utilisent ce dernier pour gagner de l’argent.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Certains visiteurs ont vite compris ce qui se passe et protesté, ce web-miner a été retiré rapidement.

Extension Chrome qui mine

Le 19 Septembre 2017, BleepingComputer annonçait dans ses actualités, qu’une extension pour Chrome assez populaire (140 000 utilisateurs) ajoutait un module de minage.
Le même principe que pour Piratebay est utilisé, simplement inclut dans l’extension en s’appuyant encore sur CoinHive.
Ici donc, le web miner est actif sur toutes les pages internaute et au démarrage de Google Chrome.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Là aussi, les utilisateurs de l’extension se sont très vites aperçues d’une utilisation anormale de la CPU par Google Chrome.
Ces derniers semblent avoir pu faire retirer l’extension du magasin Google, ces procédés étant interdit par Google.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Il est difficile de dire s’il s’agit d’un acte volontaire de l’auteur ou si c’est un piratage de l’extension, d’autant qu’il semblerait que l’extension soit un peu abandonnée.

et sur les sites de streaming illégaux…

et sur les sites de streaming illégaux, certains sont tentés d’en ajouter pour gagner encore plus d’argent… j’ai pu voir le résultat, le site devient presque impossible à utiliser.
Il n’est pas vraiment étonnant de trouver ces procédés sur ce type de sites qui sont assez vecteur de toutes sortes d’arnaque et virus, plus d’informations : Les sites de streaming et les virus

Le résultat est sans appel, sur le navigateur internet rame tellement à cause du JS Bitcoin que le site est totalement inutilisable.
Voici une capture d’écran de Mozilla Firefox qui monte à plus de 300 Mo de RAM avec le fameux message le script ne répond pas.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Google Chrome lui monte à 600 mo de RAM

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Avast! détecte ce dernier en JS:Miner, d’autres antivirus ce JavaScript web miner.

Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)
Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)

Piratage et injection

et puis il y a les piratages de sites pour modifier le contenu et injecter les scripts qui permet de miner, c’est notamment le cas sur le site suivant où un script coin-hive a été ajouté.

Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

Youtube a aussi été touché

Youtube a aussi été touché à travers des malvertising sur le réseau DoubleClick.
L’idée ici est de charger des webminer (CoinHive) à travers des publicités malveillants et dédiées à cela qui se chargeront sur la plateforme Youtube.
Fin Janvier 2018, une campagne de webminer visant Youtube a lieu de cette manière, voir notre actualité autour de ces derniers : Actu – Webminer sur Youtube

web miner sur Youtube

Le cryptojacking pour monétiser

Et puis, il y a des crypto-jacking volontaire afin de monétiser.
Par exemple fin novembre 2019, Uptobox a testé ce procédé.

Le site charge deux crypto miner :

  • Un premier sur hostincloud.racing
  • Un second directement depuis le site via un JavaScript
Cryptojacking sur Uptobox et détection antivirus

Il s’agit bien d’un test par Uptobox.

Cryptojacking en test sur Uptobox

D’ailleurs un message dans le footer l’indique.

Cryptojacking en test sur Uptobox

Mais les deux génèrent des détections par les antivirus.
hostincloud.racing est en effet en liste noire sur beaucoup d’antivirus.
C’est aussi le cas d’Avast! qui le bloque par une alerte URL:BlackList.

30/11/2019 10:25:06	https://www.hostingcloud.racing/u83k.js [L] URL:Blacklist (0)
Cryptojacking sur Uptobox et URL:Blacklist

Le second lui génère une détection HTML:Script-inf [Susp] par Avast!.

Cryptojacking sur Uptobox et HTML:Script-inf [Susp]

Le site hostingcloud.racing est aussi présente sur la liste uBlock filters – Resource abuse.
Ainsi uBlock le détecte et le bloque.

uBlock bloque le web miner et crypto-jacking

Bloquer les web-miner

Bloquer ces Web-miner n’est pas difficile mais demande certaines compétences.
Deux méthodes peuvent être utilisées :

  • Bloquer l’exécution du JavaScript
  • Bloquer la connexion vers l’URL de minage

Le blocage du JavaScript peut se faire depuis différentes extensions :

Le soucis étant que ces outils sont assez difficiles à utiliser pour un utilisateur débutant.
Sachez aussi qu’il existe aussi des extensions dédiées au blocage du web miner pour Chrome : cryptocurrency miningNo Coin, minerBlock

Le blocage de la connexion de l’URL de minage peut se faire de différentes manière.
On peut ajouter une entrée dans le fichier HOSTS de Windows.
Par exemple pour bloquer l’adresse de minage de coin-hive, vous pouvez ajouter ceci dans le fichier HOSTS de Windows, voir aussi : Bloquer des sites/adresses IP sur Windows

# Coin Hive Miner
0.0.0.0 coin-hive.com

Vous pouvez aussi bloquer l’adresse depuis Adblock ou uBlock, vous devez créer une règle personnalisée en ajoutant ceci :

||coin-hive.com^

A priori, des règles ont été ajoutées par défaut :

Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

si vous désirez ajouter vos propres règles, vous pouvez vous reporter aux tutoriels suivants :

EDITION au 28 Novembre… d’autres Web miner arrivent… Les extensions ne les bloquent pas car pas de coin-hive ou pas à jour.

Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)
Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

Avast! le détecte en JS:Miner et bloque le minager, pas de hausse de la CPU de la part du navigateur internet

Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

Les web miner en vidéo

Et pour illustrer tout cela, voici deux web miner en action sur la vidéo suivante :