Durant les dernières semaines, nous avons remarqué une forte augmentation du nombre de malware utilisant la puissance de calcul des victimes pour miner des blocs de la crypto-monnaie Monero. Ces malware, habituellement désigné comme Trojan.CoinMiner par l’industrie antivirus, peuvent rapporter beaucoup d’argent à leurs opérateurs.
CRYPTOMONNAIES: RÉSUMÉ
Le concept de crypto-monnaies date de 2009, lorsque Satoshi Nakamoto a mis à disposition du public un système de payement digital appelé Bitcoin. Il a été conçu pour offrir un mode de fonctionnement décentralisé, où chaque ordinateur l’utilisant (appelé nœud), était capable de l’échanger, via un portefeuille électronique.
Toutes les transactions sont stockées dans un fichier public appelé une chaîne de blocs (blockchain). Pour vérifier et permettre ces transactions, la puissance de calcul de plusieurs nœuds est nécessaire pour calculer des blocs, de manière à mettre à jour la blockchain. Ils sont appelés crypto-mineurs.
Lors du minage le propriétaire du crypto-mineur reçoit une récompense sous la forme d’une certaine quantité de la crypto-monnaie, et ceci en fonction du nombre de blocs calculés. Plus le nombre de blocs calculé est important, plus la récompense l’est aussi.
Aujourd’hui, de nombreuses autres crypto-monnaies ont été développées, mais toutes sont basées sur le concept de la blockchain.
TROJAN.COINMINER
Comme nous l’avons vu ci-dessus, les utilisateurs qui mettent à disposition la puissance de calcul de leurs machines sont récompensés. Ainsi, les créateurs de malware ont eu une idée : pourquoi ne pas utiliser les ordinateurs qu’ils infectent pour miner des blocs et s’approprier la récompense ? Le Trojan.CoinMiner était né.
La méthode pour infecter les ordinateurs est fort variable et le mineur lui-même peut prendre la forme d’un simple processus lancé au démarrage ou utiliser des méthodes plus sophistiquées.
Habituellement, ces malware minent la crypto-monnaie Monero, en raison de son anonymat. Le principal symptôme de ce genre d’infection est typique : un ralentissement très important de l’ordinateur en raison de l’utilisation de toutes les ressources disponibles par le mineur.
MINAGE PAR NAVIGATEUR
La société CoinHive a développé un mineur basé sur le language JavaScript qui permet aux sites web d’utiliser les ordinateurs de leurs visiteurs pour miner, le présentant comme une alternative au modèle publicitaire classique. La première version de leur script ne requerrait pas l’autorisation préalable de l’utilisateur, ce qui a entrainé un usage abusif de leur service.
The Pirate Bay, un site de torrent très connu l’a utilisé, entraînant une avalanche de protestations. Plus inquiétant, de nombreux sites populaires, tels DLINK ou CBS, ont été hacké et le mineur inséré dans leurs pages.
Depuis, CoinHive a changé la manière dont le mineur fonctionne pour rendre obligatoire l’autorisation préalable des utilisateurs, mais il sera facile pour d’autres programmeurs d’en développer un fonctionnant comme la première version du script de CoinHive.
CONCLUSION
La quantité d’infections ayant pour but le minage de crypto-monnaies va probablement encore augmenter dans le futur, tout en se complexifiant de manière à rendre leur suppression par les antivirus plus difficile. Plus longtemps le malware est actif sur le système, plus la somme gagnée par l’opérateur sera importante. RogueKiller est capable de détecter la plupart d’entre eux et de les éliminer.
