cryptojacking

Table des matières

Le cryptojacking

Le cryptojacking se produit lorsque des cybersquatteurs malveillants détournent une partie de la puissance de traitement des serveurs web.

Les groupes cybercriminels lancent de plus en plus d’attaques pour infiltrer les réseaux et extraire discrètement des pièces, la menace de cryptojacking à grande échelle est devenue la nouvelle norme.

Si les hackers sont capables de voler la puissance de calcul d’une personne en incorporant du code dans des sites web ou des logiciels, ils peuvent ainsi gagner beaucoup d’argent.

cryptojacking
Une fois installé, le cryptojacking malware activera la technologie Ajax!
(souvent utiliser pour les paniers en e-commerce)

Qu'est-ce que la crypto-monnaie ?

La crypto-monnaie est une monnaie numérique utilisée comme moyen d’échange, similaire à d’autres devises. Bitcoin, Litecoin, Monero, Ethereum et Ripple ne sont que quelques types de crypto-monnaies disponibles. Contrairement à d’autres devises, la crypto-monnaie fonctionne indépendamment d’une banque centrale et utilise des techniques de cryptage et la technologie de la blockchain pour sécuriser et vérifier les transactions.

Qu'est-ce que le cryptominage ?

Qu’est-ce que le cryptominage ?
L’extraction de crypto-monnaie, ou cryptomining, est la manière dont la crypto-monnaie est gagnée. Les individus exploitent la crypto-monnaie grâce à un logiciel de cryptomining pour résoudre des problèmes mathématiques complexes impliqués dans la validation des transactions. Chaque équation résolue vérifie une transaction et gagne une récompense versée dans la crypto-monnaie.

 

Le cryptojacking malware
quelles conséquences désastreuses sur votre e-commerce ?

Le cryptojacking a toujours des conséquences sur les appareils, systèmes et réseaux victimes :

  • Dégradation des performances du système et du réseau, car la bande passante et les ressources de l’unité centrale de traitement (CPU) sont monopolisées par l’activité de cryptominage.
  • Augmentation de la consommation d’énergie, des pannes du système et des dommages physiques dus à la défaillance des composants.
  • Perturbation des opérations régulières
    Perte financière due à l’indisponibilité du système causée par la défaillance d’un composant et le coût de la restauration complète des systèmes et des fichiers ainsi que le coût de l’augmentation de la consommation d’énergie.
  • Le cryptojacking implique des programmes installés de manière malveillante, persistants ou non persistants. Le cryptojacking non persistant se produit généralement lorsqu’un utilisateur visite une page web particulière ou a un navigateur Internet ouvert.
  • Un cryptojacking persistant continue même après qu’un utilisateur a cessé de visiter le e-commerce.

Les acteurs malveillants utilisent la technologie Ajax pour infecter les visiteurs d’un site web.

Les plugins de woocommerce utilisant Ajax sont particulièrement sensibles aux risques de piratage.  

Webmaster-alsace vous déconseille d’activer le panier ajax dans woocommerce,

une petite animation n’est rien face à un site e-commerce ruiné.

Pourquoi le cryptojacking malware aime votre VPS ?

Les sites d’E-commerce placé sur un hébergement VPS est l’endroit idéal pour le cryptojacking.  En vous fournissant une puissance supérieure à votre besoin réel.

Le VPS vous fournit un serveur virtuel qui simule un serveur physique, mais en réalité, la machine capable de bien plus. Grâce à la technologie de virtualisation, votre hébergeur installe une couche virtuelle au-dessus du système d’exploitation du serveur.

Les cryptojacking est alors plus efficace, il limite votre site web au strict nécessaire et restera installé.

En modifiant simplement quelques paramètres, les pirates utilisent jusqu’à 80 % de la puissance de traitement.

Qu'est-ce que AuthedMine ?

Coinhive, un petit bout de code qui se propage sur le web est adoré par les pirates.

cryptojacking
cryptojacking

Des exemples ont montré que les cryptomineurs sont passés maîtres dans le masquage numérique.

  • Les cybercriminels ont utilisé et abusé de GitHub et des services associés pour masquer les scripts d’extraction de crypto-monnaie
  • Le système cloud de Tesla a été piraté par des pirates qui l’ont utilisé pour exploiter la crypto-monnaie.
  • Facexworm, une extension de Google Chrome, a utilisé Facebook Messenger pour infecter les ordinateurs des utilisateurs.
  • Les attaquants ont utilisé une vulnérabilité dans une technologie d’assistance pour les personnes ayant une déficience visuelle, pour infecter plus de 4 000 sites web gouvernementaux en Europe, aux États-Unis, au Royaume-Uni et en Australie.

 

Coinhive a présenté AuthedMine comme la prochaine étape du cryptojacking. Le nouveau logiciel exécute le script sur les sites web comme alternative au « opt-in »  pour les visiteurs exécutants des extensions adblock. Au lieu de désactiver les fonctionnalités d’adblock sur les navigateurs Web, le code « AuthedMine » permet aux utilisateurs d’exécuter le code en arrière-plan.

En janvier 2022, des internautes ont découvert que des publicités YouTube pouvaient lancer   « Coinhive », un logiciel de minage de cryptomonnaies.

NB : CVE-2022-0193  et AJAX

Comment supprimer le Cryptojacking CoinHive de vos sites Web ?
WordPress, Magento, Drupal et Prestashop

Je vous ai compilé une petite liste de domaines tiers reconnus pour héberger le malware CoinHive. Les noms des scripts sont intentionnellement nommés d’après des noms de fichiers communs afin qu’ils semblent légitimes et que le webmaster ne se méfie pas en les voyant.

 

Trouver le logiciel malveillant de crypto-minage

Si vous détectez que votre site web a exécuté des scripts de crypto-mining à votre insu, il est fort probable que votre site web a été piraté ou infecté.

Voici quelques étapes que vous pouvez suivre pour identifier si votre site web est piraté :

  1. Ouvrez le site web dans votre navigateur habituel
  2. sélectionnez l’option « Afficher la source »
  3. Dans la source de la page Web, recherchez le code JavaScript qui ressemble à ce que vous avez pu lire ci-contre.
    Domaines signalés comme indiqué

Noms de domaine/fichier non reconnus Script d’initialisation pour Coinhive.

  • ads.locationforexpert[.]com
  • camillesanz[.]com/lib/status.js
  • security.fblaster[.]com
    fricangrey[.]top/redirect_base/redirect.js
  • alemoney[.]xyz/js/stat.js
  • africangirl[.]top/redirect_base/redirect.js
  • ribinski[.]us/redirect_base/redirect.js
  • aleinvest[.]xyz/js/theme.js
  • babybabybabyoooh[.]net/beta.js
  • www.threadpaints[.]com/js/status.js
  • oneyoungcome[.]com/jqueryui.js
  • wp-cloud[.]ru
  • doubleclick1[.]xyz
  • doubleclick2[.]xyz
  • doubleclick3[.]xyz
  • doubleclick4[.]xyz
  • doubleclick5[.]xyz
  • doubleclick6[.]xyz
  • api[.]l33tsite[.]info
  • ws[.]l33tsite[.]info

Code d’initialisation CoinHive

coinhivescript
un exemple fréquent

Recherchez également le code malveillant dans les fichiers principaux du site web sur votre serveur. Si vous êtes un client Webmaster-alsace, le code est déjà identifié par le système de détection. Si ce n’est pas le cas, vous pouvez effectuer les étapes suivantes :

  1. Examinez les fichiers récemment modifiés sur le serveur à l’aide de la commande SSH suivante:
				
					find /path-of-www -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
  • Recherchez les chaînes de programmes malveillants courantes à l’aide de la commande SSH suivante : remplacez la chaîne en gras par celles répertoriées ci-dessous et exécutez à nouveau la commande :

find /var/www -name « *.php » -exec grep -l « eval( » {} \ 

  1. echo(gzinflate(base64_decode
  2. coinhive ( code malveillant de crypto-jacking )
  3. locationforexpert
  4. base64_decode
  5. gzinflate(base64_decode
  6. eval(base64_decode
    Et ouvrir les fichiers signalés par ces recherches.

Correction de Crypto Mining Coinhive Malware WordPress

Webmaster-alsace a vu que les fichiers principaux de WordPress ont été modifiés pour placer le code malveillant. Dans de nombreux cas, les fichiers de thème ont également été détournés pour placer le code de cryptominage JavaScript. Le logiciel malveillant vérifie l’agent utilisateur de la demande et n’inclut le code JS malveillant que si le visiteur n’est pas un robot de moteur de recherche de Google/Bing/Yahoo, etc.

Certains des fichiers que vous devriez vérifier et comparer pour les modifications :

  • index.php
  • wp-admin/admin-header.php
  • wp-includes/general-template.php
  • wp-includes/default-filters.php
  • wp-includes/manifest.php.
  • Recherchez le code non reconnu dans header.php dans votre dossier de thème
  • fonctions.php