Actualités de la sécurité

Cryptominage Monero : Avast bloque plus de 34 millions d'attaques en une journée

Denis Konopiský, 12 décembre 2017

L'extension malicieuse Chrome a tenté d'infecter des dizaines de millions d'utilisateurs afin d'exploiter la crypto-monnaie Monero. Pourquoi le cryptominage et pourquoi Monero ?

Le dimanche 3 décembre, nous avons observé un pic pour l'une de nos détections, JS:Miner-I, qui bloque un mineur de crypto-monnaie utilisant l'algorithme cryptonight pour extraire Monero, une crypto-monnaie populaire. L'algorithme est adapté à l'utilisation de PC pour l'exploitation minière, et le mineur est exécuté en utilisant JavaScript. 

Nous avons bloqué le lancement de JS:Miner-I sur les ordinateurs de nos utilisateurs, empêchant ainsi 34,7 millions d'attaques en une seule journée. Le pic extrême n'a pas été la seule chose qui a attiré notre attention, toutes les détections ont été lancées dans le navigateur Chrome de Google.

Pourquoi le cryptominage ?

Les crypto-monnaies sont tendances et avec leur montée en popularité est venu s'ajouter une augmentation de son exploitation minière. Le cryptominage détermine en partie la valeur de la monnaie, cependant, l'extraction peut être coûteuse, car elle nécessite de grandes quantités de puissance de traitement, ce qui peut être réalisé grâce à d'énormes fermes de serveurs. 

La construction et l'entretien de l'infrastructure, ainsi que l'accès à l'électricité nécessaire à l'exploitation de ces fermes, nécessitent d'énormes investissements financiers. 

Pour économiser sur ces coûts, les cybercriminels ont plutôt recours à l'utilisation de la puissance de votre PC ou smartphone pour miner, et dans de nombreux cas, ils ne demandent pas votre permission.

En ce qui concerne l'attaque de cryptominage de ce dimanche 3 décembre, nous soupçonnons que le code Javascript a été injecté dans une extension Google Chrome, car les fichiers bloqués comme JS:Miner-I se trouvaient dans le blob_storage de Chrome, un dossier utilisé par les extensions et les add-ons pour stocker les données. 

Bien que nous ne puissions pas le dire avec certitude, nous croyons que deux choses auraient pu se produire : soit il s'agit d'une campagne malveillante qui a été effectivement diffusée, soit une extension populaire a été modifiée pour inclure le mineur.

Près de 35 millions représente un pic énorme, comparé au nombre de fois où nous avons bloqué ce mineur sur nos ordinateurs personnels les jours précédents, comme nous pouvons le voir dans le tableau ci-dessous.

December_3_spike_Avast.pngPourquoi la crypto-monnaie Monero ?

Nous avons vu plusieurs types de malware de cryptominage cette année, y compris Adylkuzz qui a atteint un sommet en mai, et un autre qui ciblait les utilisateurs sur mobile le mois dernier. Ces exemples et le mineur qui a atteint son apogée dimanche ont une chose en commun : ils exploitent la crypto-monnaie de Monero. 

La question est donc : pourquoi Monero et pas Bitcoin ou toute autre crypto-monnaie ?

Une des raisons pourrait être que Monero garde les transactions privées, ce qui est également pratique pour les cybercriminels s'ils veulent dissimuler leurs activités. Monero utilise trois technologies de confidentialité différentes pour cacher l'expéditeur, le montant envoyé et le destinataire, masquant les détails de la transaction. 

Par conséquent, Monero est devenu très populaire en général, et sa valeur est passée de moins de 2 $ à plus de 200 $, ce qui est probablement une autre raison pour laquelle Monero est la devise de choix des cybercriminels. 

Bien que Bitcoin soit largement utilisé, il ne garde pas les transactions privées et est plus difficile à extraire que Monero, ce qui peut raisonnablement être exploité en utilisant la puissance du processeur des navigateurs.

Comment savoir si mon navigateur mine secrètement ?

Les produits antivirus Avast détectent ces mineurs intégrés. En outre, vous pouvez utiliser d'autres stratégies pour vérifier si votre navigateur mine :

  • Vérifiez les scripts chargés par votre navigateur. Si vous enregistrez une charge significative de CPU mais qu'il n'y a qu'un seul onglet dans votre navigateur et que vous n'exécutez aucun élément susceptible de surcharger votre CPU, alors vous êtes habitué à exploiter la crypto-monnaie.
  • Si vous découvrez qu'un site que vous visitez est en cours d'exploration et que vous utilisez un bloqueur de publicité qui vous permet d'ajouter des URL supplémentaires à leur liste de blocage, ajoutez ce site Web à votre liste.
  • Recherchez dans le Chrome Web Store, ou quelque chose de similaire, les «mineurs bloqueurs» et voyez ce qui se passe. Les développeurs ont déjà créé des moyens de détecter automatiquement l'exploration minière et de l'empêcher de se produire.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, suivez-nous sur Facebook, Twitter, et Google+.