Qu'est-ce que le Cryptojacking ?

À mesure que les cryptomonnaies prennent de la valeur, elle deviennent la cible d'attaquants qui créent des logiciels malveillants (malwares) pour la voler à des utilisateurs ciblés. La génération de crypto-monnaies nécessite des ressources informatiques pour résoudre des problèmes mathématiques. Plus vous disposez de ressources informatiques, plus vous pouvez générer de crypto-monnaies.

Le cryptojacking consiste à tromper les utilisateurs pour qu'ils utilisent leurs ordinateurs et leurs appareils mobiles afin de générer des crypto-monnaies pour un attaquant. Ce malware est un processus d'arrière-plan qui vole les ressources de l'ordinateur et nuit aux performances des processus légitimes.

Le processus de génération de crypto-monnaies est appelé “minage”. Les mineurs sont en concurrence les uns avec les autres en se précipitant pour être les premiers à résoudre des problèmes mathématiques.

Le mineur qui résout le problème en premier est récompensé par des crypto-monnaies, et la valeur est ajoutée à la blockchain. La blockchain est un registre qui ajoute des blocs à une chaîne au fur et à mesure que les utilisateurs génèrent de la nouvelle monnaie, la dépensent et la transfèrent. La technologie blockchain est une longue chaîne de données utilisée pour suivre les crypto-monnaies et déterminer qui les possède et combien elles valent.

Pour être les premiers à résoudre un problème mathématique, les mineurs ont besoin de ressources informatiques puissantes. Avant que les crypto-monnaies ne deviennent populaires, un utilisateur domestique sur un ordinateur de bureau avec une carte vidéo puissante pouvait extraire des crypto-monnaies, mais aujourd'hui, de grandes fermes minières sont nécessaires pour générer des crypto-monnaies à une fréquence suffisamment élevée pour compenser le mineur pour son temps et le coût électrique pour faire fonctionner l'équipement.

Une façon légitime de miner des crypto-monnaies est d'utiliser un groupement de serveurs avec des groupes de personnes et de partager les récompenses. Dans une attaque de cryptojacking, un attaquant utilise des malwares ou des pages JavaScript malveillantes pour utiliser des ordinateurs tiers afin de miner pour l'attaquant.

Un logiciel malveillant installé sur l'ordinateur d'un utilisateur minera silencieusement des crypto-monnaies et les transférera sur le compte de l'attaquant. Les logiciels malveillants locaux sont beaucoup plus persistants que les attaques JavaScript, car ils doivent être supprimés de l'ordinateur avant de s'arrêter. Les attaques JavaScript utilisent la puissance de calcul des utilisateurs connectés à une page Web. Une fois la page Web fermée, les ressources informatiques sont libérées.

Avec les logiciels malveillants, un attaquant utilise souvent des keyloggers et des clipboard sniffers pour obtenir la clé privée de l'utilisateur ciblé. La clé privée d'un utilisateur est similaire à un mot de passe qui donne accès au compte de crypto-monnaie de l'utilisateur. Lorsqu'un attaquant obtient la clé privée, il peut vider le compte de crypto-monnaies de l'utilisateur et transférer des fonds vers le compte de l'attaquant. Ces attaques peuvent coûter aux utilisateurs des millions de crypto-monnaies si elles ne sont pas correctement protégées.

Un bon logiciel malveillant de cryptojacking s'étrangle lui-même pour éviter d'être détecté, mais la plupart des attaquants utilisent autant de ressources que disponibles sur l'ordinateur jusqu'à ce que le logiciel malveillant soit supprimé.

Si votre ordinateur utilise beaucoup le processeur et la mémoire alors que très peu de logiciels fonctionnent en arrière-plan, vous pourriez être la cible d'un cryptojacking. Les pics élevés d'utilisation des ressources ralentissent l'ordinateur et affectent les performances de votre activité informatique habituelle. L'outil Gestionnaire des tâches de Windows vous permet de voir l'utilisation des ressources.

Cliquez avec le bouton droit de la souris sur la barre des tâches et choisissez Gestionnaire des tâches pour ouvrir l'outil. Cliquez sur l'onglet “Performances”.

Dans l'image, l'utilisation du CPU est indiquée. Si l'ordinateur présente un pic d'utilisation du processeur de plus de 90 % alors que très peu de programmes sont en cours d'exécution, cela peut être le signe qu'un logiciel malveillant fonctionne en arrière-plan. Dans le cas d'un cryptojacking, l'utilisation de la mémoire connaîtrait également un pic. Outre l'utilisation élevée des ressources, la surchauffe est un autre signe de cryptojacking.

Pour les logiciels malveillants de cryptojacking connus, les logiciels antivirus les détecteront avant qu'ils ne s'exécutent sur l'ordinateur local. Les logiciels anti-malware sont également devenus plus efficaces pour détecter les pages Web malveillantes, y compris celles qui contiennent du code JavaScript de cryptojacking.

Le cryptojacking n'est pas aussi courant qu'il ne l'était au plus fort de la popularité des crypto-monnaies. Les attaquants avisés infectent les sites Web populaires avec des logiciels malveillants de cryptojacking, car le nombre de visiteurs d'un site signifie des ressources supplémentaires.

En 2017, des chercheurs ont découvert que le site de streaming en ligne Showtime contenait un malware de cryptojacking. En février 2018, des chercheurs ont découvert un cryptojacking sur le site du Los Angeles Times.

Le montant d'argent généré par le cryptojacking est inconnu, mais les chercheurs estiment qu'il pourrait se chiffrer en millions. En 2018, les chercheurs ont estimé que le botnet de cryptomining Smominru a pu générer 3,6 millions de dollars en crypto-monnaie en infectant environ 500 000 appareils.

Le vol de crédence est populaire pour accéder à un système et installer des processus en arrière-plan qui volent des crypto-monnaies. Le malware PowerGhost vole des informations d'identification Windows et utilise ensuite l'exploit populaire EternalBlue pour se propager à d'autres machines Windows. Il tente de désactiver les logiciels antivirus ainsi que tout logiciel de cryptomining concurrent.

Le ver de cryptomining, Graboid, se propage dans les conteneurs Docker ouverts à l'Internet public sans authentification. Graboid peut alors utiliser les ressources de Docker pour miner des cryptomonnaies. On estime que Graboid a infecté plus de 2 000 conteneurs Docker.

Les bons logiciels de cryptojacking limitent l'utilisation des ressources. MinerGate est programmé pour cesser de fonctionner lorsqu'un utilisateur est actif sur le bureau local. En s'arrêtant pendant l'activité, les utilisateurs sont moins susceptibles de détecter les logiciels malveillants sur le système, laissant MinerGate actif plus longtemps sur un plus grand nombre de machines.

En utilisant les dépôts GitHub open-source, les attaquants peuvent injecter du code de cryptojacking dans des logiciels populaires. L'attaquant bifurque le logiciel en tentant de faire croire qu'une modification légitime est apportée à un dépôt de code.

Il suffit de quelques lignes de code pour ajouter le cryptojacking, qui peut être dissimulé avec succès parmi des centaines d'autres lignes de code. Lorsque les utilisateurs téléchargent la nouvelle version du logiciel, le malware de cryptojacking se répand sur des milliers de machines, y compris des serveurs d'entreprise disposant de ressources informatiques importantes.

Le moyen le plus efficace d'éviter le cryptojacking est d'éviter d'installer des logiciels malveillants sur votre appareil. Si vous téléchargez des exécutables suspects, un bon logiciel antivirus devrait empêcher l'exécution du logiciel malveillant, mais cette méthode n'est pas fiable pour tous les cryptojackings. Les logiciels de type “zero-day” sont codés pour échapper à la détection et vont même jusqu'à désactiver l'antivirus pour empêcher leur suppression.

Pour les entreprises, le trafic sortant des logiciels malveillants peut être détecté et surveillé. Les pare-feu peuvent être utilisés pour arrêter le trafic sortant lorsque les logiciels malveillants doivent se connecter à un serveur externe. Lorsqu'un trafic suspect est détecté, le logiciel de surveillance doit envoyer une notification aux administrateurs pour examiner une éventuelle violation de données.

Sur les pages web contenant du cryptojacking, il suffit de fermer la page web pour résoudre le problème. L'utilisation des ressources atteint des sommets sur une page de cryptojacking malveillante, de sorte qu'elle peut faire planter un ordinateur avant que les ressources ne soient épuisées. Toutefois, il suffit de fermer l'onglet du navigateur qui pourrait être à l'origine de l'épuisement des ressources pour mettre fin au cryptojacking malveillant et votre appareil retrouvera ses niveaux d'utilisation antérieurs.