Rester en sécurité à l’ère du cryptojacking
depuis un navigateur Web
L’équipe recherche malware de Qualys annonce la disponibilité de l’extension Chrome Qualys BrowserCheck CoinBlocker pour détecter et bloquer le minage de cryptomonnaies depuis un navigateur.
Par Abhijit Limaye – Qualys Technology, Security Labs
Le procédé de Cryptojacking exploite les ressources d’un système ciblé dans le but de créer de la cryptomonnaie. Les attaques sont lancées au moyen de virus infectant des sites populaires avec du code JavaScript. La personne qui se rend sur l’un de ces sites exécutera le script et mettra à contribution, à son insu, les ressources de son système pour générer la cryptomonnaie qui sera ajoutée au portefeuille de l’attaquant.
Gourmand en ressources, ce processus de minage de monnaie virtuelle consomme généralement plus de 70% des ressources processeur. Cela réduit les performances, augmente la consommation d’énergie et peut causer des dommages système irréversibles. Comme le cryptojacking permet d’accumuler de la cryptomonnaie sans investir un seul centime dans l’infrastructure de minage, il s’agit d’une stratégie très rentable pour l’attaquant. La capitalisation boursière du marché global de la cryptomonnaie a dépassé les 270 milliards de dollars en juillet 2018 avec plus de 1700 projets actifs ! Il y a beaucoup d’argent à faire pour les attaquants qui exploitent ces projets et le cryptojacking rejoint au fur et à mesure l’épicentre des menaces car il s’agit d’une formule encore plus attractive que les récentes campagnes de ransomware, qui exigent une interaction avec la victime pour collecter le paiement. En outre, le cryptojacking s’appuie sur un navigateur pour sévir, il est donc plus facile d’infecter des systèmes ciblés que de pirater des serveurs.
Cryptojacking et Monero
Monero (XMR), une cryptomonnaie relativement récente, est en train de devenir une cible privilégiée. En effet, son algorithme de minage baptisé CryptoNight offre une intégration aisée et des fonctionnalités de confidentialité et d’anonymat qui profitent aussi aux criminels. L’algorithme de minage basé sur le système de validation preuve-de-travail (PoW) de Monero peut être utilisé avec des processeurs d’ordinateurs de bureau ou de serveurs plutôt qu’avec du matériel de minage ASIC ou GPU spécialisé et sur mesure comme l’exigent les algorithmes de minage de monnaie traditionnels. Il s’agit là d’un aspect important de la nouvelle génération de cryptomonnaie, qui tente d’être décentralisée et de ne pas tomber aux mains d’un petit nombre d’utilisateurs ayant accès à du matériel spécialisé. Pouvoir faire des profits non négligeables en exploitant des processeurs de machines de bureau tout en bénéficiant d’une plus grande confidentialité est une stratégie gagnante pour l’attaquant.
WASM (pour WebAssembly) est une technologie utilisée par la plupart des algorithmes de minage de cryptomonnaie via un navigateur Web. Il s’agit d’un format exécutable binaire pour le Web qui rend très efficace l’exécution de JavaScript depuis un navigateur.
**Capitalisation du marché des cryptomonnaies basées sur CryptoNight – Juin 2018. Source : https://coinmarketcap.com
Infections
Le blog de recherche sur la sécurité Bad Packet Report a récemment publié un article qui précise que plus de 100 000 sites sont actuellement infectés par du malware à des fins de cryptojacking. La plupart de ces sites semblent être compromis via un exploit de la vulnérabilité Drupalgeddon 2. L’attaque exploite la vulnérabilité CVE-2018-7600, alors que le patch est disponible depuis de nombreux mois.
Afin de protéger les utilisateurs contre le drainage de leurs ressources de calcul via des scripts de cryptomonnaie non autorisés et exécutés sur leur système, il est nécessaire de bloquer l’accès aux principaux services de minage de monnaie suivants :
-
coinhive[.]com
-
load[.]jsecoin[.]com
-
crypto-loot[.]com
-
coin-have[.]com
-
ppoi[.]org
-
cryptoloot[.]pro
-
papoto[.]com
-
coinlab[.]biz
L’Extension Qualys BrowserCheck CoinBlocker pour Google Chrome
Bénéficiant des travaux intensifs de l’équipe Qualys dédié à la recherche sur les malware, Qualys BrowserCheck CoinBlocker est une nouvelle extension pour le navigateur Google Chrome qui protège les utilisateurs contre les attaques visant à créer de la cryptomonnaie à partir d’un navigateur.
L’extension Qualys BrowserCheck CoinBlocker s’appuie non seulement sur une liste noire des domaines mais aussi sur une analyse heuristique pour identifier les algorithmes de cryptominage sous-jacents tels que CryptoNight (utilisé pour créer de la monnaie Monero) et ses différents artefacts.
Détecter les menaces de cryptojacking classiques
De plus, le cryptojacking ne se contente pas de scripts pour navigateur car certains attaquants infectent des systèmes au moyen de malware persistants qui s’exécutent indépendamment d’un navigateur pour lancer des opérations de cryptominage. Afin de détecter ce type de malware, les professionnels de la sécurité peuvent utiliser la solution Qualys Indication of Compromise (IOC) pour avoir une visibilité quasi immédiate sur la création de monnaie virtuelle et autres malware sévissant à travers l’entreprise. Qualys IOC fournit aussi une détection des familles de malware à partir de leur comportement pour les menaces de minage de monnaie suivantes :
-
CryptoMinerA
-
CryptoMinerB
-
CryptoMinerC
-
CryptoMinerD
-
CryptoMinerE
-
Neksminer
Le cryptojacking est une menace qui devrait continuer à se développer parallèlement à l’adoption grandissante des cryptomonnaies et des technologies de blockchain. Les attaquants ont recours à différentes techniques pour utiliser des systèmes à l’insu de leur propriétaire à des fins malveillantes.
Pour analyser régulièrement et gratuitement les systèmes afin d’y détecter d’éventuelles vulnérabilités : Qualys BrowserCheck
Pour rester protégé en ligne contre le cryptojacking : l’extension pour Chrome Qualys BrowserCheck CoinBlocker