Le cryptojacking consiste à utiliser sans autorisation l'ordinateur d’un individu pour faire du minage de cryptomonnaie. Pour détourner un ordinateur, les pirates peuvent envoyer un lien malveillant par courriel dans le cadre d’une campagne de phishing : en cliquant sur le lien, la victime va charger un code de chiffrement de monnaie sur l'ordinateur. Ils peuvent aussi infecter un site web ou une publicité en ligne avec un code JavaScript qui s'exécute automatiquement, une fois la page chargée dans le navigateur de la victime. Peu importe la méthode, le code de chiffrement fonctionnera en arrière-plan, car les victimes ne se doutent de rien, puisqu’elles peuvent utiliser leur ordinateur normalement. Le seul symptôme qu’elles pourraient constater, c’est une baisse de performance de leur machine ou des lenteurs dans l'exécution des tâches.

Personne ne sait avec certitude quelle quantité de cryptomonnaie est extraite par cryptojacking, mais il ne fait aucun doute que cette pratique est endémique. Au début, le minage malveillant de crytomonnaies via le navigateur des victimes a connu un développement rapide, mais cette méthode a semble-t-il perdu du terrain, probablement à cause de la volatilité de la cryptomonnaie. En novembre 2017, Adguard, l’éditeur de bloqueurs de publicité et de logiciels de protection de la vie privée, a fait état d'un taux de croissance de 31 % du cryptojacking par navigateur. Ses recherches ont permis de trouver 33 000 sites web exécutant des scripts de cryptomining. Adguard a estimé que, combinés ensemble, ces sites totalisaient un milliard de visiteurs mensuels.

Coinhive, le mineur JavaScript le plus connu

En février 2018, le chercheur en sécurité Bad Packets Report a identifié 34 474 sites exécutant Coinhive, le mineur JavaScript le plus connu, également utilisé pour des activités légitimes de cryptomining. En juillet 2018, Check Point Software Technologies, un fournisseur mondial de solutions de sécurité informatique, avait signalé que quatre des dix principaux logiciels malveillants qu’il avait découverts étaient des mineurs de cryptomonnaie, Coinhive et Cryptoloot arrivant en tête. Pourtant, le rapport « Cybersecurity Threatscape Q1 2019 » sur la cybersécurité publié par Positive Technology montre que le cryptominage ne représente plus que 7% de toutes les attaques, contre 23%, début 2018. Ce rapport suggère que les cybercriminels délaissent le minage malveillant de crytomonnaies au profit des ransomwares, perçus comme plus rentables.

« Le minage de crytomonnaies n’en est qu’à ses débuts. Il faut s’attendre à des évolutions et à une croissance importante de cette pratique », met de son côté en garde Marc Laliberte, analyste spécialisé dans les menaces du fournisseur de solutions de sécurité réseau WatchGuard Technologies. Il note que Coinhive est facile à déployer et qu’il a généré 300 000 dollars de revenus le premier mois après sa sortie. « C'est de l'argent facile. Et ce chiffre a encore augmenté depuis ». En janvier 2018, des chercheurs ont découvert le réseau de botnets de minage de cryptomonnaie appelé Smominru. Celui-ci a infecté plus d'un demi-million de machines, principalement en Russie, en Inde et à Taiwan. Le botnet ciblait les serveurs Windows pour exploiter Monero. Selon l’entreprise de cybersécurité Proofpoint, Smominru avait généré près de 3,6 millions de dollars en valeur fin janvier.

Des kits de cryptominage à 30 $

Le minage malveillant de crytomonnaies ne nécessite même pas de compétences techniques importantes. Selon le rapport de Digital Shadows intitulé « The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud », on peut acheter des kits de cryptojacking sur le Dark web pour à peine 30 dollars. Mais la vraie raison pour laquelle le cryptojacking est populaire auprès des pirates informatiques, c’est qu’ils peuvent gagner plus d'argent avec moins de risques. « Pour les pirates, le minage malveillant de crytomonnaies coûte moins cher et il est plus rentable que les ransomwares », a déclaré Alex Vaystikh, directeur technique et cofondateur de SecBI, une start-up israélienne spécialisée dans le développement de solutions de cyber sécurité. « Avec un logiciel de ransomware, le pirate arrive à extorquer de l’argent à trois personnes pour 100 ordinateurs infectés », a-t-il expliqué. Avec le cryptojacking, les 100 machines infectées travaillent toutes pour le hacker pour extraire la cryptomonnaie. « Le pirate pourrait récolter autant d’argent qu’avec le paiement de trois rançons, mais le cryptomining génère continuellement de l'argent », a-t-il ajouté.  

Un autre avantage certain, c’est que le risque d'être pris et identifié est également beaucoup moins élevé que l’utilisation d’un ransomware. Le code de cryptomining fonctionne très discrètement et peut passer inaperçu pendant longtemps. Une fois découvert, il est très difficile de remonter jusqu'à la source, et les victimes n’ont pas beaucoup de raison de lancer une enquête, puisque rien n'a été volé ou crypté. Les pirates préfèrent aussi les cryptomonnaies anonymes comme Monero et Zcash à des crytomonnaies plus populaires comme Bitcoin parce qu'avec ces cryptomonnaies, il est plus difficile de remonter jusqu'à eux.

Deux méthodes pour détourner l'ordinateur d'une victime

Les pirates disposent principalement de deux méthodes pour détourner l'ordinateur d'une victime et l’utiliser pour extraire secrètement des cryptomonnaies. La première consiste à piéger la victime en la poussant à charger un code de cryptomining sur leur ordinateur. Pour cela, ils utilisent des tactiques d'hameçonnage bien connues : les victimes reçoivent un courriel en apparence légitime et cliquent sur un lien qui va exécuter un code qui provoque le chargement d’un script de cryptomining sur l'ordinateur. Le script s'exécute ensuite en arrière-plan pendant que la victime travaille. L'autre méthode consiste à injecter un script sur un site web ou une publicité diffusée sur plusieurs sites. Quand les victimes visitent le site ou que la publicité infectée apparaît dans leur navigateur, le script s'exécute automatiquement. Aucun code n'est stocké sur les ordinateurs des victimes. Quelle que soit la méthode utilisée, le code exécute des formules mathématiques complexes sur les ordinateurs des victimes et envoie les résultats à un serveur contrôlé par les pirates. Ces derniers recourent souvent aux deux méthodes pour maximiser leur rendement. « Les attaques utilisent les astuces qui prévalaient avec les vieux malwares pour déposer des logiciels plus fiables et plus persistants sur les ordinateurs des victimes en guise de solution de repli », a encore expliqué M. Vaystikh. Par exemple, sur 100 minages malveillants d'extraction de cryptomonnaies, 10 % génèrent des revenus à partir du code chargé sur les machines des victimes, et 90 % génèrent des revenus depuis un navigateur web.

Contrairement à la plupart des autres malwares, les scripts de cryptojacking n'endommagent pas les ordinateurs ou les données des victimes. Ils volent des ressources processeur. Mais si, pour un utilisateur lambda, la baisse de performance de sa machine est au plus un désagrément, ce n’est pas le cas pour une entreprise dont plusieurs machines ont été piratées. Le cryptojacking peut se traduire par des coûts réels en terme d'assistance et de temps pour trouver la cause des problèmes de performance. L’entreprise peut aller jusqu’à remplacer des composants ou des systèmes dans l'espoir de résoudre le problème.

PowerGhost, variante de MinerGate, BadShell...

Les méthodes de détournement utilisées pour le cryptominage sont souvent dérivées de celles exploitées par d’autres types de malwares, tels que les ransomwares ou les adwares, constate Travis Farral, directeur de la stratégie de sécurité chez Anomali. En voici quelques exemples. PowerGhost a été décrit dans le rapport Illicit Cryptocurrency Mining Threat de la Cyber Threat Alliance. Il a été en premier lieu analysé par Fortinet. De son côté, Palo Alto Networks a analysé une variante de MinerGate capable de détecter les mouvements de la souris afin de suspendre ses activités de minage pendant l’utilisation de l’ordinateur. L’objectif étant d’éviter que la baisse de performance de la machine soit repérée. Découvert par Comodo Cybersecurity, BadShell utilise des processus Windows légitimes pour perpétrer son cryptominage. Un script PowerShell injecte le code du malware dans un processus d’exécution existant.

Sur la conférence EmTech Digital, en mars, Darktrace a relaté l’histoire d’un client, une banque européenne, qui avait identifié des événements inhabituels sur ses serveurs, liés à un ralentissement de ses processus exécutés pendant la nuit. Une inspection plus poussée a révélé qu’un employé malveillant avait installé un système de cryptominage. Toujours en mars dernier, Avast Software a rapporté que des logiciels de cryptojacking utilisaient GitHub comme hôte pour un malware de cryptominage. Des forks ont été créés à partir de projets légitimes. Le malware est alors caché dans la structure du répertoire de ce projet dérivé. En utilisant un schéma de phishing, les cybercriminels abusent les utilisateurs en leur faisant télécharger ce malware à travers, par exemple, une alerte de mise à jour de leur lecteur Flash ou en proposant un site de contenus pour adultes. Un autre exemple montre que des cryptojackers ont découvert une faille rTorrent liée à une mauvaise configuration qui permet d’accéder à certains clients rTorrent sans authentification sur une communication XML-RPC. Ils scannent Internet pour trouver des clients exposés sur lesquels ils déploient ensuite un cryptominer Monero. F5 Networks a révélé cette faille en février.

Facexworm, WinstarNssmMiner, CoinMiner...

Le malware Facexworm a pour sa part été découvert en premier par Kaspersky Labs en 2017. C’est une extension de Google Chrome qui utilise Facebook Messenger pour infecter les ordinateurs. Au départ, Facexworm diffuse des adwares. Au début de l’année, Trend Micro a trouvé une variante qui ciblait les échanges de cryptodevises et qui était capable de diffuser du code de cryptominage, toujours en infectant les comptes Facebook pour transmettre les liens malveillants. Au passage, les identifiants des comptes peuvent être volés, ce qui permet d’injecter du code de cryptojacking dans ces pages web. En mai, 360 Total Security a identifié un cryptominer qui se propage rapidement et s’avère efficace. Sous le nom de WinstarNssmMiner, ce malware réserve aussi une mauvaise surprise à quiconque cherche à le supprimer : il plante l’ordinateur.

Le cryptojacking s’est suffisamment répandu pour que les pirates conçoivent leurs malwares de telle façon qu’ils puissent trouver et supprimer les cryptominers qui fonctionnent déjà sur les systèmes qu’ils infectent.  C’est le cas de CoinMiner qui, selon Comodo, cherche la présence d’un processus AMDDriver64 sur les systèmes Windows. Avec CoinMiner, on trouve deux listes, $malwares et $malwares2, qui contiennent les noms des processus connus pour être utilisés par d’autres cryptominers, ce qui permet ensuite de détruire ces processus.

Une campagne ciblant les routeurs MikroTik

En septembre 2018, Bad Packets a rapporté qu’il avait surveillé plus de 80 campagnes de cryptojacking qui ciblaient les routeurs MikroTik, fournissant la preuve que des centaines de milliers d’équipements étaient compromis. Les campagnes exploitent une faille connue (CVE-2018-14847) pour laquelle MikroTik a fourni un correctif. Tous les utilisateurs ne toutefois pas installé. Comme MikroTik produit des routeurs pour les opérateurs, les auteurs de cryptojacking avaient un large accès aux systèmes susceptibles être infectés.