Kitty, un malware qui cible les sites web Drupal pour le minage de cryptomonnaie
en exploitant une vulnérabilité dans le système de gestion de contenu

Le cryptojacking est une pratique qui consiste à utiliser l'ordinateur d'une personne à son insu pour fabriquer de la monnaie virtuelle. Aujourd'hui, certains sites Web et applications pratiquent le cryptojacking en proposant des services gratuits.

Tous les moyens sont bons pour se faire de la cryptomonnaie. Selon les chercheurs d'Incapsula Imperva, c'est sur cette base que des cryptojackers ont créé un malware appelé Kitty qui s'attaque au système de gestion de contenu (CMS) Drupal pour miner illégalement la cryptomonnaie Monero. C'est un coup dur pour le CMS Drupal, car la découverte du malware Kitty intervient seulement un mois après la publication de l'exploit Drupalgeddon 2.0 qui n'est nul autre qu'une vulnérabilité d'exécution de code à distance dans les versions 7.x et 8.x de Drupal. Kitty permet principalement aux hackers d'infiltrer les sites Web réalisés sous Drupal.

Nom : Kitty_tentative _infection.png
Affichages : 3181
Taille : 48,2 Ko
Kitty, tentative d'infection

Pour plus de détails sur son fonctionnement, les chercheurs ont déclaré que : « Lors de l'inspection des attaques bloquées par nos systèmes, nous avons découvert le malware Kitty, un mineur de cryptoomonnaie Monero avancé, utilisant webminerpool, un logiciel open source de minage de cryptomonnaie pour les navigateurs. Une fois le script bash Kitty exécuté, un fichier PHP nommé 'kdrupal.php' est écrit sur le disque du serveur infecté. Ce faisant, l'attaquant renforce sa présence dans le serveur infecté et garantit la domination en utilisant une porte dérobée indépendante de la vulnérabilité de Drupal. »

Ce qui fait la particularité de Kitty, c'est qu'il ne s'attaque pas seulement au serveur, au réseau interne et au site Web, mais aussi aux visiteurs des sites infectés. À ce propos les chercheurs de Incapsula affirment que : « Ce faisant, l'attaquant infecte tout futur visiteur sur les sites de serveurs Web infectés pour extraire la cryptomonnaie à son profit ». Toujours selon Incapsula, pour infecter le site Web, Kitty modifie le fichier index.php (fichier que l'on retrouve généralement dans les configurations de site Web du CMS) en y ajoutant le script JavaScript me0w.js. Une fois ajouté, le minage de la cryptomonnaie peut commencer.

Enfin, pour conquérir les coeurs des amoureux de chats, le hacker demande gentiment de laisser son malware en affichant « me0w, ne supprimez pas s'il vous plaît, je suis un petit chaton inoffensif et mignon », a souligné Incapsula.

Nom : Kitty_message_meow.png
Affichages : 3172
Taille : 7,8 Ko


Source : Incapsula

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Drupal corrige une faille critique de contournement d'accès qui expose les sites à un risque de compromission complète
XAgent : un malware qui dérobe les données personnelles sous iOS découvert par les experts de Trend Micro
Les sites qui se tournent vers le minage de cryptomonnaies comme moyen alternatif de financement sont de plus en plus nombreux