L’équipe de recherche en malware de Qualys annonce la disponibilité de
l’extension Chrome _Qualys BrowserCheck CoinBlocker pour détecter et bloquer le minage de cryptomonnaie depuis un navigateur.

Le procédé de Cryptojacking exploite les ressources d’un système ciblé
dans le but de créer de la cryptomonnaie. Les attaques sont lancées au
moyen de virus infectant des sites populaires avec du code JavaScript.
La personne qui se rend sur l’un de ces sites exécutera le script et
mettra à contribution, à son insu, les ressources de son système pour
générer la cryptomonnaie qui sera ajoutée au portefeuille de l’attaquant.

Gourmand en ressources, ce processus de minage de monnaie virtuelle
consomme généralement plus de 70% des ressources processeur. Cela réduit
les performances, augmente la consommation d’énergie et peut causer des
dommages système irréversibles. Comme le cryptojacking permet
d’accumuler de la cryptomonnaie sans investir un seul centime dans
l’infrastructure de minage, il s’agit d’une stratégie très rentable pour
l’attaquant. La capitalisation boursière du marché global de la
cryptomonnaie a dépassé les 270 milliards de dollars en juillet 2018
avec plus de 1700 projets actifs ! Il y a beaucoup d’argent à faire pour
les attaquants qui exploitent ces projets et le cryptojacking rejoint au
fur et à mesure l’épicentre des menaces car il s’agit d’une formule
encore plus attractive que les récentes campagnes de ransomware, qui
exigent une interaction avec la victime pour collecter le paiement. En
outre, le cryptojacking s’appuie sur un navigateur pour sévir, il est
donc plus facile d’infecter des systèmes ciblés que de pirater des
serveurs.

*Cryptojacking et Monero*

_Monero (XMR), une
cryptomonnaie relativement récente, est en train de devenir une cible
privilégiée. En effet, son algorithme de minage baptisé _CryptoNight
offre
une intégration aisée et des fonctionnalités de confidentialité et
d’anonymat qui profitent aussi aux criminels. L’algorithme de minage
basé sur le système de validation preuve-de-travail (PoW) de Monero peut
être utilisé avec des processeurs d’ordinateurs de bureau ou de serveurs
plutôt qu’avec du matériel de minage ASIC ou GPU spécialisé et sur
mesure comme l’exigent les algorithmes de minage de monnaie
traditionnels. Il s’agit là d’un aspect important de la nouvelle
génération de cryptomonnaie, qui tente d’être décentralisée et de ne pas
tomber aux mains d’un petit nombre d’utilisateurs ayant accès à du
matériel spécialisé. Pouvoir faire des profits non négligeables en
exploitant des processeurs de machines de bureau tout en bénéficiant
d’une plus grande confidentialité est une stratégie gagnante pour
l’attaquant.

WASM (pour WebAssembly) est une technologie utilisée par la plupart des
algorithmes de minage de cryptomonnaie via un navigateur Web. Il s’agit
d’un format exécutable binaire pour le Web qui rend très efficace
l’exécution de JavaScript depuis un navigateur.

Infections*

Le blog de recherche sur la sécurité _Bad Packet Report
a récemment publié un _article
_qui
précise que plus de 100 000 sites sont actuellement infectés par du
malware à des fins de cryptojacking. La plupart de ces sites semblent
être compromis via un exploit de la vulnérabilité _Drupalgeddon 2
.
L’attaque exploite la vulnérabilité _CVE-2018-7600
<https://nvd.nist.gov/vuln/detail/CV...> _, alors que le _patch
<https://www.drupal.org/files/issues...> _est
disponible depuis de nombreux mois.

Afin de protéger les utilisateurs contre le drainage de leurs ressources
de calcul via des scripts de cryptomonnaie non autorisés et exécutés sur
leur système, il est nécessaire de bloquer l’accès aux principaux
services de minage de monnaie suivants :

*

coinhive[.]com

*

load[.]jsecoin[.]com

*

crypto-loot[.]com

*

coin-have[.]com

*

ppoi[.]org

*

cryptoloot[.]pro

*

papoto[.]com

*

coinlab[.]biz

L’Extension Qualys BrowserCheck CoinBlocker pour Google Chrome

Bénéficiant des travaux intensifs de l’équipe Qualys dédié à la
recherche sur les malware, Qualys BrowserCheck CoinBlocker
est
une nouvelle extension pour le navigateur Google Chrome qui protège les
utilisateurs contre les attaques visant à créer de la cryptomonnaie à
partir d’un navigateur.

L’extension Qualys BrowserCheck CoinBlocker s’appuie non seulement sur
une liste noire des domaines mais aussi sur une analyse heuristique pour
identifier les algorithmes de cryptominage sous-jacents tels que
CryptoNight (utilisé pour créer de la monnaie Monero) et ses différents
artefacts.

Détecter les menaces de cryptojacking classiques

De plus, le cryptojacking ne se contente pas de scripts pour navigateur
car certains attaquants infectent des systèmes au moyen de malware
persistants qui s’exécutent indépendamment d’un navigateur pour lancer
des opérations de cryptominage. Afin de détecter ce type de malware, les
professionnels de la sécurité peuvent utiliser la solution _Qualys
Indication of Compromise
(IOC) pour avoir
une visibilité quasi immédiate sur la création de monnaie virtuelle et
autres malware sévissant à travers l’entreprise. Qualys IOC fournit
aussi une détection des familles de malware à partir de leur
comportement pour les menaces de minage de monnaie suivantes :

*

CryptoMinerA

*

CryptoMinerB

*

CryptoMinerC

*

CryptoMinerD

*

CryptoMinerE

*

Neksminer

Le cryptojacking est une menace qui devrait continuer à se développer
parallèlement à l’adoption grandissante des cryptomonnaies et des
technologies de blockchain. Les attaquants ont recours à différentes
techniques pour utiliser des systèmes à l’insu de leur propriétaire à
des fins malveillantes.

Pour analyser régulièrement et gratuitement les systèmes afin d’y
détecter d’éventuelles vulnérabilités : Qualys BrowserCheck

Pour rester protégé en ligne contre le cryptojacking : l’extension pour
Chrome_Qualys BrowserCheck CoinBlocker_