Un site continue à miner de la cryptomonnaie même lorsque vous fermez la page principale,
en cachant une fenêtre derrière la barre des tâches
Si les sites Web qui se servent du script de minage de cryptomonnaies de CoinHive sont de plus en plus nombreux, au moins un des acteurs a su se différencier des autres : pour continuer de faire du minage même quand l’utilisateur ferme l’onglet du site, il a ouvert une petite fenêtre de navigation qu’il place derrière la barre des tâches de Windows.
La technique en elle-même n’est pas nouvelle : elle est connue sous le nom de pop-under, une astuce qui, comme son nom l’indique, permet de générer une nouvelle fenêtre séparée du navigateur principal.
C’est le chercheur en sécurité de Malwarebytes Jerome Segura qui a découvert la supercherie. L’acteur malveillant se sert alors de JavaScript pour configurer la taille de la fenêtre et ses coordonnées (position) sur l’écran de l’utilisateur. Selon Segura, ce site Web – un portail pour adultes – a utilisé la formule suivante pour calculer dynamiquement la position de cette nouvelle fenêtre.
Code JavaScript : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 Horizontal position = (current screen width) 100px Vertical position = (current screen height) 40px
Pour la plupart des utilisateurs, cela va afficher une petite fenêtre qui va se cacher sous la barre des tâches de Windows. Une version personnalisée du script JavaScript de minage de CoinHive sera alors chargée dans cette fenêtre.
À moins que les utilisateurs n'aient activé la transparence avec leur interface de système d'exploitation, ils ont peu de chances de repérer cette fenêtre cachée. Sauf s’ils se mettent à parcourir la liste des processus dans le Gestionnaire des tâches de Windows. En effet, contrairement à d’autres sites faisant du cryptojacking (qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie), cette version personnalisée n’emploie que très peu de ressources de l’ordinateur sur lequel elle est chargée, sans doute pour ne pas ralentir la vitesse d’exécution de la machine et par la même occasion de passer sous les radars.
Selon Segura, si les utilisateurs détectent quelque chose d’inhabituel, ils peuvent utiliser le Gestionnaire des tâches de Windows pour tuer le processus du navigateur indésirable associé à cette fenêtre ou redimensionner la barre des tâches de Windows et forcer la fenêtre à devenir visible.
Cette technique semble fonctionner uniquement avec les navigateurs Chrome et n'a été repérée que sur un seul site, youporn[.]sexy.
Malwarebytes a déclaré dans un rapport publié plus tôt ce mois-ci que son produit de sécurité a bloqué 8 millions de demandes de services de cryptojacking sur une base quotidienne. La plupart des produits de sécurité et des extensions de navigateur bloquant les publicités sont compatibles avec le blocage des mineurs dans les navigateurs.
Selon le chercheur en sécurité Willem de Groot, en mi-novembre, au moins 2496 sites se servaient du script de Coinhive, contre 220 lorsque Adguard a effectué ses tests en mi-octobre. Il a assuré que 85 % de ces sites génèrent de la cryptomonnaie seulement pour deux comptes Coinhive. Selon le nombre total de visiteurs, la durée de leur visite sur un site affecté et la puissance de leur ordinateur, les revenus générés par ces comptes pourraient être considérables (tout comme le montant total des frais supplémentaires provoqués par la procédure – factures d'électricité).
Les 15 % restants sont répartis sur d’autres comptes Coinhive, mais Willem pense détenir des éléments de preuves qui suggèrent que ces comptes sont contrôlés par un seul individu ou groupe : « Comme CoinHive nécessite un identifiant unique, nous pouvons analyser la distribution du cryptojacking. Sur 2496 sites infectés, 85 % sont liés à seulement deux comptes CoinHive, tandis que les 15 % restants sont répartis sur des comptes CoinHive uniques. Parce que l'étiquette ajoutée à ce segment de 15 % est toujours le nom du site, je pense que cette augmentation de cryptojacking sur les sites en ligne peut être attribuée à seulement trois individus ou groupes. »
Source : BC
Voir aussi :
Les sites qui se tournent vers le minage de cryptomonnaies comme moyen alternatif de financement, sont de plus en plus nombreux
The Pirate Bay recommence à se servir d'un mineur de monnaie électronique sur son site, sans prévenir les utilisateurs
Partager