Les Mineurs de crypto-monnaie exploitent des sites web

Au cours du dernier mois, les services de cyber-sécurité ont prêté une grande attention aux logiciels malveillants d’extraction de crypto-monnaie. L’équipe de Wordfence a surveillé la situation, et a repéré des attaques visant à faire télécharger des logiciels miniers malveillants aux visiteurs de certains sites et a également constaté que certains sites nettoient leur bases de données en supprimant les membres déjà infectés.

Dans ce post, vous apprendrez ce qu’est l’exctraction de crypto-monnaie ou « minage » (mining en anglais), ce qu’il represente pour les cyber-attaquants, comment vérifier si vous avez ce problème et que faire dans ce cas.

Attaques minières de crypto-monnaie sur WordPress

Pour ceux d’entre vous qui ne sont pas encore au courant, les crypto-monnaies sont des devises numériques qui rencontrent un énorme succès en ce moment et qui peuvent agir comme une alternative aux monnaies traditionnelles. Les exemples notables sont le Bitcoin, le Litecoin, l’Ethereum et le Monero, parmi beaucoup d’autres. L’extraction de crypto-monnaie est un processus de calcul informatique intensif qui contribue aux opérations du réseau de crypto-monnaie tout en générant de nouvelles devises. Il faut une quantité massive de ressources informatiques pour générer un revenu significatif. Les personnes intéressées par l’extraction de crypto-monnaie ont généralement besoin d’investir dans des équipements coûteux et d’être confronté au problème de la consommation d’énergie et de chaleur générée par le matériel.

Récemment, des plateformes en ligne ont vu le jour permettant aux propriétaires de sites Web d’exploiter la puissance de calcul des visiteurs de leur site Web pour miner de la crypto-monnaie. Les propriétaires de sites Web s’inscrivent simplement et ajoutent un bout de code JavaScript sur leur site. Les ressources informatiques de leurs visiteurs sont ensuite mises au travail au profit du site. Il est peu probable que les visiteurs du site Web considèrent cette pratique favorablement, mais il sera intéressant de voir la tendance évoluer vers un système participatif, au quel cas l’internaute serait avertit et accepterait ou non de partager ses resources.

 Les ressources informatiques de leurs visiteurs sont ensuite mises au travail au profit du site

Nous avons vu la première attaque sur un site WordPress essayant d’intégrer le code d’extraction de crypto-monnaie le 17 septembre 2017. Le volume d’attaques a été très faible et son mode peu sophistiqué jusqu’à présent. Cependant, notre équipe de cyber-sécurité commence à voir de plus en plus de sites Web piratés avec ce malware (logiciel malveillant), ainsi les attaques commencent à porter leurs fruits pour le plus grand bonheur des hackeurs.

Les attaques que nous avons analysées tentent toutes d’exploiter les failles de sécurité bien connues qui existent depuis longtemps; par exemple, la faille du célèbre plug-in Gravity Forms révélée mi-2016, ou la faille Joomla com_jce connue depuis début 2014. Nous avons également vu plusieurs tentatives d’insertion de code « minier » utilisant des comptes d’administrateur WordPress piratés, ainsi que certaines attaques utilisant des comptes FTP piratés.

Comment les pirates profitent de logiciels malveillants d’extraction de Crypto-monnaie

Les hackeurs intègrent le code Javascript de Coinhive sur les sites Web qu’ils ont piraté. Coinhive fournit un moyen d’exploiter une crypto-monnaie connue sous le nom de Monero. Monero diffère des autres crypto-monnaies comme le Bitcoin, en ce sens qu’il ne donne pas aux mineurs qui utilisent des GPU (carte graphiques) ou d’autres matériels spécialisés un avantage de calcul significatif. Cela signifie qu’il est bien adapté à l’utilisation dans les navigateurs Web, s’exécutant en JavaScript sur les processeurs grand public. Autrement dit, le monero est très facilement extractible simplement en navigant sur internet avec un ordinateur classique.

Les propriétaires de sites qui placent le code Coinhive sur leurs sites Web gagnent de la monnaie Monero. Le code Coinhive utilise les ressources de calcul des visiteurs du site pour extraire du Monero. Un Hacker peut placer le code Coinhive sur des milliers de sites Web et gagner du Monero à partir de l’extraction qui se produit dans les navigateurs des visiteurs du site.

L’image suivante est un exemple de code Coinhive incorporé dans le code d’un site et qui va extraire la monnaie Monero:

coinhive script webcreatid

L’équipe de recherche de Checkpoint a analysé le potentiel de profit pour un hacker utilisant ce malware. Ils ont conclu que si était suffisamment performant pour atteindre en moyenne 1 000 utilisateurs simultanés sur l’ensemble des sites infectés, il générerait 2398 dollars de revenus mensuels.

Nous pensons que ces attaques gagneront en popularité très rapidement étant donné leur rentabilité. Les attaques qui tentent d’intégrer des logiciels malveillants de minage sont actuellement peu sophistiquées, mais nous nous attendons à voir une augmentation de la sophistication des attaques à mesure que la rumeur se répand que c’est un business lucratif. Nous prévoyons également que ces attaques viseront des sites Web à fort trafic, puisque le potentiel de profit augmente considérablement avec un nombre plus élevé de visiteurs simultanés.

Comment vérifier si votre site est infecté par un Malware de Minage de Crypto-monnaie

Le pare-feu Wordfence bloque les attaques qui tentent d’infecter des sites avec ce malware. Wordfence a ajouté une capacité de détection à son système pour les scripts minier. Cela signifie que le scanner vous avertira s’il détecte ce type de script sur votre site. Cela signifie également que le pare-feu Wordfence bloquera tous les téléchargements contenant le script.

Les clients de Wordfence Premium ont déjà accès à cette fonctionnalité de détection. Les utilisateurs libres ont accès à cette fonctionnalité depuis le 24 novembre via la version communautaire du Threat Defense Feed.

Il est important de vous assurer de détecter rapidement une infection si un hacker parvient à passer à travers vos défenses. Vous trouverez ci-dessous un exemple d’analyse qui indiquerait que cette infection existe sur votre site.

screenshot wordfense

Wordfence a également ajouté des capacités de détection à Gravityscan. Pour lancer une analyse sur votre site, accédez simplement au site Web Gravityscan et lancez une analyse. Pour de meilleurs résultats, nous vous recommandons d’installer l’accélérateur Gravityscan.

Voici un exemple de recherche de balayage de Gravityscan.

balayage de Gravityscan

(Si vous avez intentionnellement ajouté un script cryptominer à votre site, vous pouvez simplement ignorer cette étape.)

Certains logiciels malveillants de cryptage peuvent être plus cachés ou obscurcis, alors faites toujours attention si beaucoup de vos visiteurs commencent à signaler des performances médiocres de leur navigateur ou de leur ordinateur lorsqu’ils visitent votre site.

Quelques hackers ont ajusté les paramètres du mineur de sorte qu’il n’utilise qu’une partie de la puissance du processeur disponible, ou qu’une seule instance du script mineur puisse s’exécuter à la fois (même si elle est ouverte dans plusieurs onglets).

coinhive script webcreatid

Mais beaucoup d’entre eux sont encore prêts à utiliser 100% des ressources disponibles, quoi qu’il arrive.

coinhive minimg code webcreatid blog

Changements dans le Business Plan des Hackers

De nouveaux modèles émergent constamment pour les hackers. Historiquement, ils utilisaient des sites Web compromis pour générer du contenu indésirable (spam) ou des mail intempestifs. Au cours de la dernière décennie, les « rançon-giciels » ont gagné en popularité auprès des pirates, car ils leur permettent d’extorquer de l’argent aux victimes. Plus récemment, l’utilisation de ressources informatiques volées pour exploiter la crypto-monnaie a émergé comme un moyen pour les mauvais acteurs de tirer parti de systèmes compromis.

Ce modèle commercial émergant a maintenant fait son chemin dans l’écosystème WordPress comme un moyen pour les attaquants de profiter de sites WordPress piratés et des ressources de calcul informatique de leurs visiteurs. Il est impératif que les propriétaires de sites WordPress déploient une analyse de pare-feu et de logiciels malveillants sur leurs sites pour détecter rapidement cette nouvelle menace et s’assurer que les ressources de leurs visiteurs ne sont pas détournées pour exploiter la crypto-monnaie.

Que faire si votre site est infecté par un logiciel malveillant d’extraction de Crypto-monnaie?

L’un des moyens le plus fiable de repérer si votre site est piraté est d’utiliser le service de nettoyage de site que propose WordFence. Leur équipe d’experts nettoiera votre site et le remettra en ligne le plus rapidement possible. Le service comprend un rapport détaillé et une garantie de 90 jours. Vous pouvez également utiliser l’audit de sécurité du site Wordfence pour effectuer une inspection de sécurité complète de votre site Web.

Si vous préférez essayer de réparer vous-même une infection, vous pouvez suivre leur guide pour corriger un site web piraté avec Wordfence.

Source: www.wordfence.com