YouTube a laissé servir des annonces publicitaires exécutant des scripts pour miner de la cryptomonnaie
Sans informer les internautes
Le cryptojacking, qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie, a pris de l’ampleur ces derniers jours, selon la firme de sécurité Trend Micro. Le déferlement de cette pratique serait dû à YouTube. En effet, des acteurs malveillants auraient abusé la plateforme publicitaire DoubleClick de Google pour servir des annonces exécutant du code, permettant au passage de dérober les ressources CPU et l’électricité des internautes pour générer la cryptomonnaie au profit des attaquants anonymes.
Cette vague d’annonces publicitaires abusives a commencé mardi ; les internautes consternés se sont tournés vers les réseaux sociaux pour faire part de leur mécontentement après que leurs antivirus ont pu détecter le code de cryptojacking quand ils ont visité YouTube. De plus, les alertes antivirus semblent concerner YouTube seulement, et le fait de changer de navigateur ne semble pas atténuer les messages d’alerte des antivirus.
« Le 24 janvier 2018, nous avons observé que le nombre de détections du mineur web Coinhive a triplé en raison d’une campagne de pub malicieuse, » ont écrit Chaoying Liu et Joseph C. Chen de Trend Micro. Les attaquants ont servi cette campagne dans les pays suivants : le Japon, la France, Taiwan, l’Italie et l’Espagne.
Coinhive est un script JavaScript à intégrer aux pages web qui permet de miner une cryptomonnaie, en l’occurrence le monero, une cryptomonnaie prisée par les cybercriminels en raison de son pseudo-anonymat. Lancé en mi-septembre, l’outil de minage a connu une explosion d’installation sur des dizaines de milliers de sites, volontairement ou suite à un piratage. Il faut noter que l’idée de départ du lancement de Coinhive est de permettre aux sites web de gagner de l’argent sans servir de publicité.
L’analyse des pages web plombées par cette campagne a révélé l’existence de deux scripts de minage séparés. Quand la page web est chargée, une annonce publicitaire légitime est servie alors qu’un nombre généré de façon aléatoire décide quel script de minage est exécuté. Dans 9 sur 10 des cas, les pubs vont utiliser le script JavaScript public (coinhive.min.js) fourni par Coinhive. Dans les cas restants, les annonces sur YouTube servent un code de minage privé (mqoj_1.js) qui permet aux attaquants de garder la commission de 30 % réservée à Coinhive. Naturellement, les deux scripts écrasent la puissance de processeur des machines, en accaparant 80 % des ressources CPU.
Et comme si cela n'était pas suffisant, les attaquants ont servi dans certains cas des images avec le code pour faire la publicité de faux programmes antivirus, le but étant d’extorquer de l’argent des victimes et installer des malwares sur leurs machines.
Notifié de l’existence de ces pratiques, un représentant de Google a informé plusieurs sources que les mesures nécessaires ont été prises pour supprimer les annonces et les acteurs malicieux des plateformes concernées. Le moteur de recherche a fait également savoir que le minage de cryptomonnaies par le biais d’annonces publicitaires est une nouvelle forme d’abus qui viole sa politique d’utilisation.
Le cryptojacking sans préavis des internautes fait partie des tendances inquiétantes qui ont émergé ces six derniers mois. Certes, des questions se sont posées sur la possibilité de mettre en place une alternative à la publicité, en exploitant la puissance de calcul inutilisée des internautes, ou du moins voir émerger un nouveau système de financement des sites web.
Mais au lieu de suivre une approche de transparence, les attaquants ont commencé à exploiter secrètement ces scripts pour dérober la puissance de CPU des utilisateurs, en exécutant parfois plusieurs malwares de minage simultanément. Les tests montrent aussi que cette pratique réduit considérablement l’autonomie de la batterie.
Si vous pensez que votre système tourne à plein régime sans aucune raison particulière, pensez à jeter un coup d’œil sur le gestionnaire de tâches, l’utilisation de votre processeur sera beaucoup plus grande si vous avez un outil de minage en train d’exploiter votre processeur.
Source : blog Trend Micro
Et vous ?
Avez-vous été affecté par cette campagne de pub abusive ?
Quelles sont les mesures que vous avez prises pour vous prémunir contre le cryptojacking ?
Voir aussi :
Près d'un milliard d'internautes sont désormais exposés au cryptojacking d'après les statistiques d'AdGuard
Partager