Cryptojacking : 500 millions d’internautes ont miné de la cryptomonnaie sans le savoir

Cryptojacking : En l’espace de quelques semaines, près de 500 millions d’utilisateurs auraient « miné » des crypto-monnaies de type Bitcoin, Monero sans le savoir. Gain estimé, plusieurs dizaines de milliers d’euros.

Miner de la crypto-monnaie, faire du cryptojacking, une mode qui attire de plus en plus de monde. Sans autorisation, un script s’exécute pendant que l’utilisateur visite la page et utilise le processeur de l’ordinateur pour générer une monnaie virtuelle qui peut ensuite être revendu en ligne. Une opération qui aurait déjà généré 43 000 euros sans aucun investissement. Des sites tels que The Pirate Bay ont testé cette possibilité.

Ces résultats, issus d’une enquête des chercheurs de la société AdGuard parue mi-octobre, concernent 220 sites qui font tous partie des 1,000 sites internet les plus visités au monde selon le classement Alexa. Ces sites sont « principalement des sites illégaux de streaming de contenu TV et vidéo, des trackers torrent et des sites pornographiques » notent les chercheurs. Des sites qui du fait de leur réputation ont souvent du mal à se financer par la publicité légitime et misaient donc jusqu’ici sur un marché « gris » de la publicité en ligne (pubs pour le viagra, les sites pornographiques ou redirigeant les utilisateurs vers des sites malveillants).

En 2016, les revenus publicitaires pour le seul téléchargement illégal (une pratique en net recul face au streaming) aux États-Unis étaient de 111 millions de dollars (étude TAG) dont 83% issus de ce marché « gris ».

Qu’il s’agisse de pop-ups proposant des rencontres avec « des inconnues de votre région » ou de faux messages d’alertes invitant à l’installation d’un antivirus, le minage de cryptomonnaies sans en avertir l’utilisateur n’est qu’une nouvelle étape pour ces sites illégaux qui cherchent à maintenir l’illusion d’un service gratuit auprès du public. Une illusion qui cache des réseaux criminels aux statuts opaques.

Coinhive, pro du in-browser crypto miner / cryptojacking

CoinHive, une jeune PME qui propose de miner des Moneros (cousin du bitcoin) sur le dos de vos visiteurs. Les publicités en ligne perdent de la vitesse, les « annonceurs » cherchent de nouvelles entrées d’argent. L’in-browser crypto miner est né. L’idée, profiter d’une partie (quand ce n’est pas de l’ensemble) de la puissance de calcul des ordinateurs des visiteurs. Mission, générer de la crypto-monnaie. Bref, de l’argent qui se fabrique n’ont pas par la vente d’un service, d’un produit. De l’argent qui se fabrique par la simple force des énormes calculatrices que sont nos ordinateurs. CoinHive a lancé son service en septembre.

 Le cryptojacking de Coinhive travaille sur la monnaie Monero. Installable sur un site Internet, via un code javascript, l’outil génère de la cryptomonnaie. Le nombre de visiteurs sur le site et la durée de leur présence augmente la puissance de cette mine. Le code de Coinhive se trouve dans de nombreux sites ayant du mal à attirer les annonceurs, comme les sites pornographiques ou de téléchargements illicites.

AuthedMine, du opt-in pour minage !

Après de nombreuses critiques, CoinHive a mis en place AuthedMine, une validation, par l’internaute de l’utilisation ou non de son CPU pour miner du Monero. Des plugins pour navigateurs sont apparus avec ce squattage de ressource, comme le plugin SafeBrowse. Des idées génantes : l’internaute n’est pas alerté de ce « pompage » et il n’y a pas de possibilité de le contrer (bloquer le java dans son navigateur).

Dernièrement, Microsoft a mis la main sur CoinBlind et CoinNebula. Deux applications qui avaient pour mission d’empêcher toute alerte concernant un minage infiltré. Bref, voilà encore des outils qui pourraient ternir l’image des crypto-monnaies.

A noter que CoinHive a été « piraté » ce 23 octobre 2017 avec un détournement de DNS afin de récupérer les informations des utilisateurs de son JavaScript mineur.

Une faille dans Windows server 2003 permet de miner la cryptomonnaie Monero

La société ESET a découvert dernièrement un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003. La faille a permis d’installer, à l’insu de leurs propriétaires, une version modifiée d’un mineur open source présenté ci-dessus. Pour miner, il faut une concentration de ressources, rarement disponible sur un seul serveur. Cela oblige les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul. Les experts pensent que cette faille est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnet comprenant une centaine de machines. Ils ont ainsi généré plus de 63 000 dollars en cryptomonnaie Monero. Le « cheval de Troie » a été baptisé CoinMiner.AMW trojan.

Bien que Monero soit loin derrière Bitcoin en termes de capitalisation [le bitcoin affichait un fier 5000€ pièce il y a quelques jours, NDR], il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent : Les transactions Monero sont intraçables ; Monero s’appuie sur un algorithme appelé CryptoNight. « CryptoNight favorise l’utilisation des CPU et non pas des GPU comme le Bitcoin » explique Peter Kálnai, Malware Researcher chez ESET.

Cryptojacking : Comment CoinMiner exploite une vulnérabilité

En juillet 2015, Microsoft a mis fin au support des mises à jour régulières pour Windows Server 2003. Malgré cela, en juin 2017 Microsoft a corrigé plusieurs vulnérabilités. Missio, éviter que de grandes attaques telles que WannaCry se reproduisent. Bien qu’elles soient disponibles, les mises à jour ne sont pas forcément appliquées : les administrateurs évitent leur installation automatique.

« En nous basant sur les performances des CPU équipant habituellement les serveurs 2003 et les gains réalisés, nous avons tenté de déterminer le nombre de serveurs infectés. Nous estimons que le réseau de botnets génère 5,5 XMR2 par jour, soit 825 dollars US. Le montant total de l’opération est estimé à 63 000 dollars US » explique Benoît Grunemwald de chez ESET.

Cette activité cybercriminelle de Cryptojacking démontre l’ingéniosité de ses créateurs et le relatif niveau de compétences requis. Par ailleurs, les faibles coûts opérationnels nécessaires permettent d’obtenir des revenus significatifs. Dans ce cas précis, les cybercriminels ont détourné le logiciel de minage légitime et ciblé d’anciens systèmes non patchés.