Qu'est-ce que le cryptojacking et comment ça marche ?

Le cryptojacking se produit lorsqu'un pirate utilise l'ordinateur de bureau ou l'ordinateur portable d'une victime pour générer de la crypto-monnaie. Cela se produit lorsque la victime installe involontairement un code malveillant qui permet à un cybercriminel d'accéder à son appareil.

Cela peut se produire lorsqu'une victime clique sur un lien inconnu sur une page Web ou un e-mail de phishing. Le cybercriminel utilise ensuite ce logiciel malveillant, connu sous le nom de mineur de pièces, pour extraire des crypto-monnaies.

Les crypto-monnaies sont des monnaies numériques, donc le pirate n'a besoin que d'un logiciel malveillant et de l'appareil de la victime pour les exploiter.

Comment fonctionne le cryptojacking ?

Les cybercriminels disposent de plusieurs moyens pour faire en sorte que l'ordinateur d'une victime commence à extraire de la crypto-monnaie.

La première consiste à tromper les victimes pour qu'elles chargent du code de crypto-minage sur leur PC, souvent par le biais d'un e-mail de phishing.

La victime reçoit un e-mail d'apparence légitime qui l'invite à cliquer sur un lien. Le lien exécute ensuite un script sur l'ordinateur qui extrait les crypto-monnaies en arrière-plan à l'insu de la victime.

La deuxième méthode consiste à placer un script sur un site Web ou une annonce diffusée sur plusieurs sites Web. Lorsqu'une victime visite un site Web affecté ou clique sur une publicité infectée, le script s'exécute automatiquement.

Dans tous les cas, le code n'est pas stocké sur l'appareil de la victime ; tout ce qu'il fait est d'exécuter des problèmes mathématiques complexes et d'envoyer les résultats à un serveur sous le contrôle du cybercriminel.

Certains scripts ont des capacités de type ver, ils peuvent donc infecter plus d'appareils sur le même réseau, maximisant les retours pour le pirate. Cela le rend également plus difficile à retirer.

Selon les chercheurs en sécurité d'AT&T, ces vers peuvent également modifier leurs scripts pour s'exécuter dans différentes architectures informatiques, telles que  x86, x86-64 et aarch64. Les pirates parcourent différents scripts jusqu'à ce qu'un fonctionne. Ensuite, une tâche cron garantit que le script sera persistant sur un appareil ou tuera le script s'il est détecté.

Les scripts de minage de chiffrement peuvent également vérifier si d'autres logiciels malveillants de minage de chiffrement concurrents ont cryptojacké un appareil. S'il détecte d'autres scripts, il peut les désactiver pour exécuter son script à la place.

Pourquoi le cryptojacking est-il un problème ?

Le cryptojacking semble être un crime sans victime, car aucun dommage n'est causé à l'ordinateur de la victime et aucune donnée n'est volée.

Ce qui est volé, ce sont les ressources dont dispose un ordinateur en termes de cycles CPU ou GPU. Utiliser la puissance de calcul de cette manière est criminel et fait à l'insu ou sans le consentement de la victime au profit du pirate qui tire ensuite de l'argent de cette activité.

Alors qu'un individu peut être ennuyé par un ordinateur plus lent, les entreprises peuvent encourir des coûts liés aux tickets d'assistance et au temps d'assistance informatique pour trouver et résoudre les problèmes liés aux ordinateurs lents. Cela peut également entraîner des factures d'électricité beaucoup plus élevées pour les entreprises concernées.

Pourquoi le cryptojacking est-il populaire ?

Le cryptojacking est un phénomène récent par rapport à d'autres cybercrimes, car il a pris de l'importance en 2017 lorsque la valeur de Bitcoin augmentait rapidement.

L'un des premiers services de cryptojacking a été Coinhive. Il s'agissait d'une collection de fichiers JavaScript offrant aux propriétaires de sites Web un moyen de gagner de l'argent grâce à leurs visiteurs. En mars 2019, Coinhive a définitivement mis fin à ses services, mais d'autres versions existent toujours sur Internet.

Le nombre d'attaques semble suivre la valeur de la crypto-monnaie. Selon un rapport de l'Enisa, il y a eu une augmentation de 30 % d'une année sur l'autre du nombre d'incidents de cryptojacking en 2020. 

Le même rapport indique que Monero (XMR) était la crypto-monnaie de choix pour les activités de cryptojacking en 2019 en raison de son accent sur la confidentialité et l'anonymat. Cela signifie que les transactions Modero ne peuvent pas être tracées. De plus, Monero a conçu son algorithme de preuve de travail pour rendre l'exploitation minière viable avec un processeur standard au lieu d'un matériel spécialisé. Cet algorithme de minage résistant aux ASIC le rend parfait pour les machines infectées par des logiciels malveillants de cryptojacking.

Dans l'ensemble, le cryptojacking est populaire car il n'a pas besoin d'une connexion à un serveur de commande et de contrôle exploité par le pirate. Il peut également passer inaperçu pendant très longtemps, de sorte que les pirates peuvent gagner de l'argent de manière anonyme sans craindre que les forces de l'ordre frappent à leur porte.

Une autre motivation est l'argent - le cryptojacking est bon marché. Selon un rapport de Digital Shadows, les kits pour vous lancer dans le cryptojacking coûtent aussi peu que 30 $. Au cours d'une campagne, les pirates ont gagné jusqu'à 10 000 $ par jour grâce à l'extraction de cryptomonnaies.

Quels sont des exemples concrets de cryptojacking ?

En 2019, plusieurs applications qui extrayaient secrètement de la crypto-monnaie avec les ressources de ceux qui les avaient téléchargées ont été éjectées du Microsoft Store. Les victimes potentielles trouveraient les applications grâce à des recherches par mots-clés dans le Microsoft Store. Une fois téléchargées, les applications ont également téléchargé du code JavaScript de cryptojacking pour exploiter Monero.

En 2018, du code de cryptojacking a été trouvé caché dans la page de rapport sur les homicides du Los Angeles Times. Cela a également miné Monero.

Tesla est une autre victime très médiatisée du cryptojacking. Une enquête menée par la société de cybersécurité Redlock a révélé que des pirates avaient infiltré la console Kubernetes de Tesla, qui n'était pas protégée par un mot de passe. Ils ont installé un logiciel de pool de minage et configuré le script malveillant pour qu'il se connecte à un point de terminaison "non répertorié" ou semi-public.

En 2018, Trend Micro a observé un groupe de pirates appelé Outlaw essayant d'exécuter un script dans l'un des pots de miel IoT de Trend Micro. À la fin de la même année, les pirates avaient sous leur contrôle plus de 180 000 hôtes compromis.

En 2020, Palo Alto Networks a découvert un schéma de cryptojacking qui utilisait des images Docker pour installer un logiciel de cryptominage sur les systèmes des victimes. Les cybercriminels ont inséré du code dans les images Docker pour éviter d'être détectés. Les images infectées ont aidé les criminels à extraire une crypto-monnaie d'une valeur estimée à 36 000 $.

Quels sont les logiciels malveillants de cryptojacking connus ?

Il existe de nombreux exemples de logiciels malveillants de cryptojacking. Voici quelques exemples :

• Smominru : Ce cryptojacker compromet les machines Windows à l'aide d'un exploit EternalBlue et de la force brute sur divers services, notamment MS-SQL, RDP, Telnet et bien d'autres.
• Badshell  :Cela utilise des techniques sans fichier et se cache dans les processus Windows.
• Coinhive :Il s'agissait d'un outil de monétisation de site Web légitime, mais il s'agit de la plus grande menace de cryptojacking au monde.
• MassMiner  :Il s'agit d'un logiciel malveillant d'extraction de crypto-monnaie qui a été repéré en utilisant des capacités de type ver pour se propager via plusieurs exploits.

Comment savoir si vous êtes victime de cryptojacking ?

Le cryptojacking est pratiquement indétectable dans la plupart des cas. Cependant, il y a quelques signes que votre ordinateur pourrait être une victime, y compris le chauffage de l'ordinateur, les bruits de ventilateur forts, le déchargement des batteries plus rapidement que d'habitude, la baisse des performances, l'arrêt en raison du manque de puissance de traitement disponible.

Vous devriez envisager de fermer et de bloquer tout site Web suspecté d'exécuter des scripts de cryptojacking si vous constatez ces symptômes. Vous devez également mettre à jour ou supprimer toutes les extensions de navigateur douteuses.

Pouvez-vous empêcher vos appareils d'être victimes de cryptojacking ?

Mieux vaut prévenir que guérir, et les utilisateurs peuvent faire certaines choses pour empêcher leurs machines de succomber à un incident de cryptojacking.

Parmi eux, l'installation d'un bloqueur de publicités, car la plupart d'entre eux peuvent empêcher les scripts de cryptojacking. Vous devez également maintenir vos systèmes à jour avec les derniers logiciels et correctifs pour votre système d'exploitation et toutes les applications, en particulier les navigateurs Web. De nombreuses attaques exploitent les failles connues des logiciels existants.

Les organisations peuvent dresser une liste des URL/IP des sites de cryptojacking infectés et des domaines des pools de crypto-mining à bloquer. Ils peuvent également implémenter la surveillance du système réseau pour identifier l'utilisation excessive des ressources.