On connaît tous les malwares de type Trojan Miner qui vise à utiliser l’ordinateur pour miner de la monnaie virtuelle.
En utilisant la CPU de l’ordinateur, ce dernier va miner de la monnaie virtuelle.
L’ordinateur sert donc de ressources pour gagner de l’argent, à l’insu de l’utilisateur.
La dernière trouvaille des JavaScript sur des pages internet qui utilisent le navigateur internet pour miner.
Il s’agit donc de web miner, là aussi sans le consentement des visiteurs que l’on nomme Cryptojacking.
Quelques explications autour de type de cyberattaque qui vont sûrement se répandre de plus en plus.
Si vous êtes curieux et cherchez à comprendre le principe des monnaie virtuelle, rendez-vous sur notre page : Comprendre les crypto-monnaie ou monnaie virtuelle : Bitcoin, Ethereum, etc
Table des matières
Principe du Cryptojacking ou Web Miner
Le principe est simple, un code JavaScript inclut dans la page permet d’utiliser le navigateur internet pour miner.
Une connexion vers un site de minage est alors effectuée par le navigateur WEB.
Lorsque le web miner est chargé, les effets sont immédiats sur l’ordinateur puisque firefox.exe ou chrome.exe vont alors monter en CPU, visible sur le gestionnaire de tâches.
Cela peut ralentir les navigateurs internet et l’ordinateur tant que la page internet est ouverte.
Mais surtout, les internautes risque de ne pas comprendre ce qui se passe et vont très probablement en déduire qu’un virus est présent sur leur ordinateur.
Bloquer ces JavaScript n’est pas forcément difficile mais cela peut demander un minimum de connaissances, à moins que des programmes comme Adblock prennent aux sérieux ces menaces.
L’idée de ces web miner est de permettre aux propriétaires des sites internet de gagner de l’argent en utilisant les navigateurs internet des visiteurs, souvent à leurs insu.
Il est fort probable que de futurs sites utilisent ces méthodes pour gagner de l’argent, notamment les sites de streaming illégaux et autres.
En effet, c’est une nouvelle manière de monétiser son site internet en remplacement ou à côté des publicités.
On peut aussi imaginer, à l’avenir, des piratages massifs de sites WordPress ou Joomla pour pousser ces web miner.
Bref, cela ouvre pas mal de portes.
Les campagnes malveillantes des Cryptojacking
Quelques campagnes significatives autour des Cryptojacking ou web miner.
Trojan Miner sur Piratebay
Le site Piratebay a dernièrement ajouté un de ces JavaScript Miner.
Il semblerait plutôt que cela soit en test ou à l’initiative d’un développeur du site.
Il s’agit d’un simple JavaScript utilisant le crypto miner CoinHive.
CoinHive est un service de crypto-miner pour les sites internet “web-miner”, les propriétaires de Piratebay utilisent ce dernier pour gagner de l’argent.
Certains visiteurs ont vite compris ce qui se passe et protesté, ce web-miner a été retiré rapidement.
Extension Chrome qui mine
Le 19 Septembre 2017, BleepingComputer annonçait dans ses actualités, qu’une extension pour Chrome assez populaire (140 000 utilisateurs) ajoutait un module de minage.
Le même principe que pour Piratebay est utilisé, simplement inclut dans l’extension en s’appuyant encore sur CoinHive.
Ici donc, le web miner est actif sur toutes les pages internaute et au démarrage de Google Chrome.
Là aussi, les utilisateurs de l’extension se sont très vites aperçues d’une utilisation anormale de la CPU par Google Chrome.
Ces derniers semblent avoir pu faire retirer l’extension du magasin Google, ces procédés étant interdit par Google.
Il est difficile de dire s’il s’agit d’un acte volontaire de l’auteur ou si c’est un piratage de l’extension, d’autant qu’il semblerait que l’extension soit un peu abandonnée.
et sur les sites de streaming illégaux…
et sur les sites de streaming illégaux, certains sont tentés d’en ajouter pour gagner encore plus d’argent… j’ai pu voir le résultat, le site devient presque impossible à utiliser.
Il n’est pas vraiment étonnant de trouver ces procédés sur ce type de sites qui sont assez vecteur de toutes sortes d’arnaque et virus, plus d’informations : Les sites de streaming et les virus
Le résultat est sans appel, sur le navigateur internet rame tellement à cause du JS Bitcoin que le site est totalement inutilisable.
Voici une capture d’écran de Mozilla Firefox qui monte à plus de 300 Mo de RAM avec le fameux message le script ne répond pas.
Google Chrome lui monte à 600 mo de RAM
Avast! détecte ce dernier en JS:Miner, d’autres antivirus ce JavaScript web miner.
Piratage et injection
et puis il y a les piratages de sites pour modifier le contenu et injecter les scripts qui permet de miner, c’est notamment le cas sur le site suivant où un script coin-hive a été ajouté.
Youtube a aussi été touché
Youtube a aussi été touché à travers des malvertising sur le réseau DoubleClick.
L’idée ici est de charger des webminer (CoinHive) à travers des publicités malveillants et dédiées à cela qui se chargeront sur la plateforme Youtube.
Fin Janvier 2018, une campagne de webminer visant Youtube a lieu de cette manière, voir notre actualité autour de ces derniers : Actu – Webminer sur Youtube
Le cryptojacking pour monétiser
Et puis, il y a des crypto-jacking volontaire afin de monétiser.
Par exemple fin novembre 2019, Uptobox a testé ce procédé.
Le site charge deux crypto miner :
- Un premier sur hostincloud.racing
- Un second directement depuis le site via un JavaScript
Il s’agit bien d’un test par Uptobox.
D’ailleurs un message dans le footer l’indique.
Mais les deux génèrent des détections par les antivirus.
hostincloud.racing est en effet en liste noire sur beaucoup d’antivirus.
C’est aussi le cas d’Avast! qui le bloque par une alerte URL:BlackList.
30/11/2019 10:25:06 https://www.hostingcloud.racing/u83k.js [L] URL:Blacklist (0)
Le second lui génère une détection HTML:Script-inf [Susp] par Avast!.
Le site hostingcloud.racing est aussi présente sur la liste uBlock filters – Resource abuse.
Ainsi uBlock le détecte et le bloque.
Bloquer les web-miner
Bloquer ces Web-miner n’est pas difficile mais demande certaines compétences.
Deux méthodes peuvent être utilisées :
- Bloquer l’exécution du JavaScript
- Bloquer la connexion vers l’URL de minage
Le blocage du JavaScript peut se faire depuis différentes extensions :
- NoScript pour Firefox
- uMatrix pour Google Chrome qui est un peu complexe à utiliser mais compliet pour les utilisateurs confirmés.
- ou ScriptSafe pour les deux : ScriptSafe blocage de script sur Chrome ou Firefox : publicités et protection vie privée
Le soucis étant que ces outils sont assez difficiles à utiliser pour un utilisateur débutant.
Sachez aussi qu’il existe aussi des extensions dédiées au blocage du web miner pour Chrome : cryptocurrency mining, No Coin, minerBlock
Le blocage de la connexion de l’URL de minage peut se faire de différentes manière.
On peut ajouter une entrée dans le fichier HOSTS de Windows.
Par exemple pour bloquer l’adresse de minage de coin-hive, vous pouvez ajouter ceci dans le fichier HOSTS de Windows, voir aussi : Bloquer des sites/adresses IP sur Windows
# Coin Hive Miner 0.0.0.0 coin-hive.com
Vous pouvez aussi bloquer l’adresse depuis Adblock ou uBlock, vous devez créer une règle personnalisée en ajoutant ceci :
||coin-hive.com^
A priori, des règles ont été ajoutées par défaut :
si vous désirez ajouter vos propres règles, vous pouvez vous reporter aux tutoriels suivants :
- uBlock : filtrage et blocage de publicités et contenu
- Adblock : utilisation avancée des règles de filtrage
EDITION au 28 Novembre… d’autres Web miner arrivent… Les extensions ne les bloquent pas car pas de coin-hive ou pas à jour.
Avast! le détecte en JS:Miner et bloque le minager, pas de hausse de la CPU de la part du navigateur internet
Les web miner en vidéo
Et pour illustrer tout cela, voici deux web miner en action sur la vidéo suivante :
Liens
- Les attaques DDoS : Le déni de service
- Le phishing ou hameçonnage par mail : le détecter et s’en protéger
- Qu’est-ce qu’une attaque par ingénierie sociale
- Les attaques par brute-force : cracker un mot de passe
- Qu’est-ce que le Hijack DNS et comment s’en protéger
- Typosquatting : Attaque par de faux sites malveillants
- Drive-By Download : infecter les ordinateurs par le WEB
- Clickjacking : les fraudes et détournement au clic
- Les Cryptojacking : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)