Infection de Sites Web par des Scripts de Cryptomining
Des hackers ont infecté plus de 3 500 sites web avec des scripts de cryptomining furtifs qui détournent discrètement les navigateurs des visiteurs pour générer du Monero, une crypto-monnaie axée sur la confidentialité, conçue pour rendre les transactions plus difficiles à tracer. Ce malware ne vole pas de mots de passe ni ne verrouille des fichiers. Au lieu de cela, il transforme discrètement les navigateurs des visiteurs en moteurs de minage de Monero, siphonnant de petites quantités de puissance de traitement sans le consentement des utilisateurs.
Découverte et Stratégies de Cryptojacking
La campagne, toujours active au moment de la rédaction, a été découverte pour la première fois par des chercheurs de la société de cybersécurité c/side.
« En limitant l’utilisation du CPU et en cachant le trafic dans des flux WebSocket, elle a évité les signes révélateurs du cryptojacking traditionnel, »
a déclaré c/side vendredi. Le cryptojacking, parfois écrit en un seul mot, désigne l’utilisation non autorisée de l’appareil de quelqu’un pour miner de la crypto, généralement sans la connaissance du propriétaire.
Cette tactique a d’abord attiré l’attention du grand public à la fin de 2017 avec l’essor de Coinhive, un service désormais disparu qui a brièvement dominé la scène du cryptojacking avant d’être fermé en 2019. La même année, les rapports sur sa prévalence sont devenus contradictoires, certains affirmant à Decrypt qu’il n’était pas revenu à « des niveaux précédents », même si certains laboratoires de recherche sur les menaces ont confirmé une augmentation de 29 % à l’époque.
Retour du Cryptojacking
Plus de cinq ans plus tard, la tactique semble faire un retour discret, se reconfigurant de scripts bruyants et gourmands en ressources CPU en mineurs discrets conçus pour la furtivité et la persistance. Plutôt que de surcharger les appareils, les campagnes d’aujourd’hui se répandent discrètement sur des milliers de sites, suivant un nouveau manuel qui, comme le dit c/side, vise à « rester discret et miner lentement. »
Ce changement de stratégie n’est pas un accident, selon un chercheur en sécurité de l’information familier avec la campagne, qui a parlé à Decrypt sous couvert d’anonymat. Le groupe semble réutiliser d’anciennes infrastructures pour prioriser l’accès à long terme et un revenu passif.
« Ces groupes contrôlent très probablement déjà des milliers de sites WordPress piratés et de magasins de commerce électronique issus de précédentes campagnes Magecart, »
a déclaré le chercheur à Decrypt.
Discrétion et Détection
Les campagnes Magecart sont des attaques où les hackers injectent du code malveillant dans des pages de paiement en ligne pour voler des informations de paiement.
« Planter le mineur était trivial, ils ont simplement ajouté un script supplémentaire pour charger le JS obfusqué, réutilisant l’accès existant, »
a déclaré le chercheur. Mais ce qui se distingue, a ajouté le chercheur, c’est la discrétion avec laquelle la campagne opère, rendant difficile la détection avec des méthodes plus anciennes.
« Une des façons dont les anciens scripts de cryptojacking étaient détectés était par leur forte utilisation du CPU, »
a-t-on dit à Decrypt.
« Cette nouvelle vague évite cela en utilisant des mineurs WebAssembly limités qui restent sous le radar, plafonnant l’utilisation du CPU et communiquant via WebSockets. »
WebAssembly permet au code de s’exécuter plus rapidement dans un navigateur, tandis que WebSockets maintiennent une connexion constante à un serveur. Combinés, ces éléments permettent à un mineur de crypto de fonctionner sans attirer l’attention.
Implications pour les Propriétaires de Serveurs
Le risque n’est pas de cibler directement les utilisateurs de crypto, puisque le script ne vide pas les portefeuilles, bien qu’en théorie, ils pourraient ajouter un draineur de portefeuille à la charge, a déclaré le chercheur anonyme à Decrypt.
« La véritable cible est les propriétaires de serveurs et d’applications web, »
ont-ils ajouté.
