Le programme d'affiliation de crypto-monnaie de Coinhive dans les navigateurs des utilisateurs (et d'autres mineurs JS) gagne de plus en plus de popularité parmi les cybercriminels. Les utilisateurs sans méfiance se rendent sur le site - et ne remarquent pas qu'ils ont une forte augmentation de la charge du processeur (les mineurs Coinhive Monero utilisant l'algorithme CryptoNight, ce qui crée un gros bloc en mémoire et empêche le parallélisme interne, donc l'exploitation minière élimine l'utilisation d'ASIC et est plus efficace sur CPU).
Les attaquants continuent de pirater des sites et d'héberger des scripts d'exploration de données. Il en va de même avec les extensions de navigateur. Récemment, ils ont implémenté le mineur CryptoLoot
même dans le script CookieScript.info , qui aide d'autres sites à afficher un avertissement sur l'utilisation de cookies à la demande de l'Union européenne - c'est le service gratuit le plus populaire de ce type, il est utilisé par des milliers d'autres sites, sinon ils s'exposent à une amende de l'Union européenne pouvant aller jusqu'à 500000 $.
On pourrait regarder les activités des attaquants avec un sourire: eh bien, combien vont-ils y générer en deux minutes que l'utilisateur dépense sur le site? La nature éphémère de l'exploitation minière dans le navigateur est restée le principal inconvénient de ce type de malware. Mais les experts de Malwarebytes Labs
notent que les propriétaires des «botnets miniers» ont malheureusement pu éliminer cet inconvénient. Désormais, l'exploration sur les ordinateurs des utilisateurs continue même après qu'ils ont quitté le site infecté. Et même après avoir fermé le navigateur.
Des tests ont été effectués dans le navigateur Google Chrome. L'
animation montre que lorsque vous fermez le navigateur avec un site normal, l'utilisation du processeur tombe immédiatement à zéro. Mais lorsque vous fermez le site avec le mineur intégré, pour une raison quelconque, l'utilisation du processeur reste au même niveau de plus de 60% (pour le déguisement, le mineur ne charge pas correctement le processeur au maximum).
L'astuce est que, malgré la fermeture visible de la fenêtre du navigateur, Google Chrome ne se ferme pas, mais reste en mémoire. Le malware ouvre
une fenêtre contextuelle invisible . Certes, c'est une technique très compétente.
Les coordonnées de la fenêtre contextuelle sont sélectionnées de manière à se cacher
exactement derrière l'horloge dans la barre des tâches.
Les coordonnées de la fenêtre peuvent varier légèrement, selon la résolution de l'écran de l'ordinateur de la victime, mais elles sont placées derrière l'horloge. Certes, il y a une mise en garde. Si le thème de fonctionnement a un thème de conception avec translucidité, alors la fenêtre est encore légèrement visible derrière le panneau (voir la capture d'écran au début de l'article).
Des experts en sécurité sont tombés par hasard sur cette astuce lors de la visite de l'un des sites pornographiques. Le réseau publicitaire agressif Ad Maven y fonctionne, qui
contourne les bloqueurs de publicité et, à son tour, charge les ressources du cloud Amazon - c'est une façon de contourner le bloqueur de publicité. Bien que la charge malveillante .wasm elle-même ne soit pas chargée directement à partir d'AWS, mais à partir d'un hébergement tiers.
Dans le code du script, vous pouvez remarquer certaines fonctions mentionnées dans la
documentation du mineur Coinhive . Par exemple, il existe une vérification de la prise en charge de WebAssembly - en utilisant cette technologie, le navigateur utilise le plus pleinement les ressources du matériel installé sur l'ordinateur. Si WebAssembly n'est pas pris en charge, le mineur passe à une version JavaScript plus lente (asm.js).
Comme mentionné ci-dessus, le mineur n'entraîne pas la fréquence du processeur à 100%, mais la charge modérément pour fonctionner silencieusement pendant longtemps.
Compte tenu de ce comportement malveillant des logiciels malveillants, il est difficile de compter entièrement sur les bloqueurs de publicités. Maintenant, après avoir fermé le navigateur, vous devez toujours vérifier que le navigateur a disparu de la barre des tâches où les processus en cours se bloquent. Mais si l'icône est attachée au panneau, elle ne devrait disparaître nulle part. Par conséquent, juste au cas où, il est préférable de vérifier après la fermeture du navigateur qu'il n'y a aucun processus en cours d'exécution comme chrome.exe et autres dans le gestionnaire de tâches. Bien que de nombreux utilisateurs ne ferment plus du tout leur navigateur de nos jours. La dernière méthode reste donc: pour surveiller en permanence la charge du processeur, les experts de Malwarebytes Labs recommandent.
Ils publient également des indicateurs d'infection pour vérifier qu'aucun élément supplémentaire n'est apparu sur le site:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteModule d'assemblage Web Cryptonight:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bcIl est peu probable qu'une personne plus ou moins techniquement compétente soit trompée de cette manière. Du moins pas pour longtemps. Mais il y a un grand nombre d'utilisateurs qui ne savent rien des mineurs de cryptographie dans le navigateur, de tels logiciels malveillants peuvent donc devenir très populaires.