logo_blanc
Rechercher

Cryptojacking, Quand La Cryptomonnaie Devient Source De Malware

Businessman balancing on bitcoin

Depuis maintenant une décennie, les cryptomonnaies ont fait leur entrée dans notre quotidien. La plus connue étant le Bitcoin qui est suivie de près par l’Ethereum. La première cryptomonnaie, malgré des fluctuations, se stabilise aux alentours des 6000 euros. Certains estiment que le Bitcoin pourrait un jour remplacer le dollar, qui a lui-même remplacé l’or, comme monnaie pour les transactions internationales. La montée de ses cours a donné des idées aux pirates. Depuis 2 ans, de nouveaux malwares ont fait leur apparition, ils prennent le nom de « cryptojacking ».

Le site de cybersécurité Check Point établit un classement plusieurs fois par an sur les malwares les plus utilisés. En décembre 2017, le Top trois était occupé par les cryptojacking. A partir de ce classement, nous allons établir dans cet article un panorama des malwares, scripts et botnets utilisés pour lancer des attaques de cryptojacking.

Coinhive

Lancé en septembre 2017, il est présenté comme une alternative à la publicité sur les sites internet. Une utopie qui a vite fait déchanter ceux qui l’ont subi. En effet, s’installant en quelques lignes de code, Coinhive va permettre d’utiliser 50 à 100% du processeur de l’appareil qui va visiter le site internet : ainsi l’API Coinhive a permis le développement d’attaques de cryptojacking. Il en résulte un ralentissement de la machine et une diminution drastique de la batterie. Malgré certaines améliorations comme la diminution de l’usage du processeur, le visiteur ne peut pas bloquer ce script sans installer une extension sur son navigateur.

Fireball

Sévissant depuis 2015, ce malware chinois très discret aurait infecté plus de 250 millions de machines (Apple et Microsoft) selon CheckPoint. Sa mise en évidence ne date, cependant, que de juin 2017. Son fonctionnement est simple, il détourne principalement la page d’accueil du navigateur et donc les résultats de vos recherches. Il en découle un problème d’intégrité des données puisque Fireball décide de changer les sources des fichiers téléchargés pour installer, à votre insu, des malwares sur votre machine. Ces programmes malveillants peuvent avoir pour instructions de miner du Bitcoin ou de l’Ethereum via votre machine.

Rig Ek

Sa première apparition remonte à 2014. Rig Ek va chercher à exploiter les failles de sécurité de Flash, Java, Silverlight et Internet Explorer d’après l’analyse de Malwarebytes. Conçu initialement pour être un ransomware, les utilisateurs de ce kit vont changer leur fusil d’épaule pour l’utiliser à des fins de cryptojacking. On observe ce changement en fin d’année 2017. Les victimes se voient alors infectées d’un malware qui va utiliser leurs machines pour miner du Monero.

Cryptoloot

Ce cryptojacking est une alternative à Coinhive. Il est tout aussi simple à utiliser pour les développeurs, puisqu’un simple script Javascript, disponible sur le site officiel, injecté directement sur la page web, va permettre d’utiliser à la fois la puissance de votre processeur mais aussi celle de votre carte graphique. Cet add-on légitime peut prendre jusqu’à 100% des ressources du système, tout cela, dans le but de miner la monnaie virtuelle Monero pour le propriétaire du site web.

RedisWannaMine

Découvert en ce début d’année 2018 par la société Imperva, ce programme de cryptojacking vise les serveurs Windows d’application et de base de données en exploitant la faille de sécurité EternalBlue (Exploit développé par la NSA et révélé par le groupe de hackers en avril 2017). Cette faille a déjà été utilisée par des ransomwares tels que WannaCry, Adylkuzz et NotPetya. Cette attaque vise également les serveurs Redis mal configurés en exploitant la vulnérabilité CVE-2017-9805 d’Apache Struts (Framework pour concevoir des application web en Java). Une fois le serveur infecté, le programme va agir comme un vers et tenter d’infecter d’autres serveurs. Tout cela dans le but de miner de la monnaie virtuelle.

Adylkuzz

Adylkuzz est un malware cryptojacking ou cryptomineur apparu en 2017 à la même période que WannaCry. Il exploite une faille de sécurité MS17-010 sous Microsoft Windows pour s’installer sur le système cible et miner de la cryptomonnaie à l’insu de l’utilisateur. Il est autonome et ne nécessite aucune interaction utilisateur. Le Botnet utilisé est composé de dizaines de milliers de postes compromis pouvant produire plusieurs dizaines de milliers d’euros par jour de revenu.

RubyMiner

Récemment, CheckPoint, experts en cybersécurité, a repéré un nouveau malware ciblant principalement des serveurs web obsolètes. En effet RubyMiner tente d’exploiter des failles qui ont été corrigées entre 2012 et 2013. Le programme va utiliser les vulnérabilités dans le protocole HTTP via des requêtes de type POST pour injecter du code PHP ou Ruby. Linux et Windows sont donc tous les deux vulnérables aux attaques de RubyMiner, cependant, avoir les dernières mises à jour vous protégera de ses attaques.

Smominru

Rendu publique en janvier dernier, les attaques de ce nouveau botnet pour cryptojacking ont fait plus de 500 000 victimes. Ce programme cible essentiellement les serveurs d’entreprise et du gouvernement en exploitant la faille EternalBlue (utilisation du service Windows Server Message Block sur le port 445). Tout comme RedisWannaCry, le botnet va utiliser le CPU du serveur infecté pour miner du Monero. D’après les experts en cybersécurité de Proofpoint, Smominru pourrait miner pas loin de 24 XMR par jour soit environ 5200 euros (cours actuel : 1 XMR = 220 €).

Satori

D’après Decentral.fr, il s’agit d’un botnet qui va cibler les machines qui minent de la cryptomonnaie Ethereum pour dérober leur production. Satori ne vise que les équipements RIG qui utilisent le logiciel Claymore Miner via le port 3333 et sans authentification. Lorsque Satori a recueilli les informations sur la machine, il va immédiatement remplacer l’adresse du portefeuille du propriétaire par celui du hacker puis redémarrer l’appareil. Après cela, l’Ethereum miné sera automatiquement extrait vers le portefeuille de l’attaquant.

 

L’envolée des cours de la cryptomonnaie a lancé une nouvelle tendance chez les hackers. Là où les ransomwares bloquaient les machines pour quelques centaines d’euros, il est devenu plus judicieux d’exploiter ces mêmes machines pour miner de la monnaie sur une plus longue période : il en résulte un gain bien plus important. Même si ces programmes ne chiffrent pas vos données et donc ne vous empêchent pas d’utiliser votre ordinateur, ils le ralentissent fortement. Par ailleurs, l’usure de la machine s’en voit accélérée et votre facture d’électricité va suivre l’envolée des cours de la cryptomonnaie.

Il n’y a pas de solution miracle pour s’en protéger définitivement. Cependant, avoir la bonne attitude permet d’éviter le pire. Il est tout d’abord primordial de posséder un système d’exploitation et des applications à jour. Lorsque vous utilisez votre navigateur Internet, vous pouvez installer des extensions de confiance telles que NoCoin et AdBlock. Elles sont mises à jour fréquemment pour bloquer l’utilisation de votre CPU à des fins de minages lorsque vous visitez un site web. Il va être important de suivre l’actualité de ces cryptojacking afin de ne pas être surpris par leurs arrivées. La prudence est donc de rigueur mais cela s’applique pour toute la sécurité de votre système d’information.

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC