Les web miner (cryptojacking) et prise en otage des navigateurs internet

[Malekal_morte]

Paloaltonetworks a publié une étude sur les web miner qui consiste à miner de la crypto-monnaie en utilisant le navigateur internet des visiteurs.
Le procédé est déjà évoqué sur la page : Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

La France est assez touché, avec notamment le site uptobox qui semble utiliser ces procédés.
Les sites de streaming illégaux devraient y passer, je pense pour la plupart, sachant qu'en France, ces sites sont très en vogue.

CoinMining_repartition.png

Des sites pornographiques, torrent semblent avoir passé le pas.
Enfin, il y a les piratages de sites où les JavaScript de Miner sont injectés. Ainsi, les sites piratés peuvent générer de la crypto-monnaie pour les pirates à l'origine du détournement du site victime.

Un graph qui montre l'explosion du phénomène web miner depuis quelques jours.

CoinMining_graph.png

Les règles Adblock ont été mises à jour pour bloquer ces web miner.

L'étude de Paloaltonetworks : https://researchcenter.paloaltonetworks ... g-browser/

~~

Edition 11 Février : les sites de porn s'y mettent avec coin-hive massivement utilisés.

241 sites sont Top 100,000 sur Alexa et 629 (0.21%) sont top 300 sur Alexa.

repartition-web-miner-javascript.png

Le tableau des domaines utilisés par ces miner :

repartition-web-miner-javascript-2.png

~~

Edition Avril 2018 : des malvertising sur le réseau AOL ont permis la diffusion de Crypto-miner sur le site MSN.com
=> https://blog.trendmicro.com/trendlabs-s ... -platform/

[devadip]

slt
il existe aussi une extension sur chrome et opera qui "bloquerai" ces web miner : https://github.com/xd4rker/MinerBlock
à voir si ça fonctionne et si c'est utile

[Malekal_morte]

Il était déjà cité sur la page mais bon les adblocker font le boulot.

[Parisien_entraide]

Ca tombe bien j'avais commencé à préparer un article sur le sujet et tout est dit ou presque dont avec le complément de Wulfik :-)

Quelques liens en compléments :


Articles du 13 Octobre :

http://www.numerama.com/tech/297685-de- ... ultez.html
https://www.generation-nt.com/the-pirat ... 47045.html

MinignAdguard.png

ANTI-WEBMINER

Un petit programme qui peut ne servir à rien pour ceux qui utilisent des adblocker (Ublock, Adguard par ex qui le font depuis plusieurs semaines) et qui donc focalisent sur le navigateur, mais qui ne veulent pas s'encombrer de modules complémentaires (un tort pour les ad blockers) et/ou veulent agir en amont (dont hors navigateur) via le fichier HOSTS (voir article de Wulfik) mais qu'ils n'osent pas manipuler

Cela va donc bloquer la connexion vers l’URL de minage (Ex du cas d'un programme ou "normalement" cela est signalé dans le setup, et qu'il suffit de décocher, mais l'expérience montre comme avec les Pup's, pour ne citer qu'eux, que certains ne s'embarrassent pas avec ce signalement)


Le lien :

https://github.com/greatis/Anti-WebMiner


Téléchargement :

https://github.com/greatis/Anti-WebMiner/releases

ANtixebminer.png

[Wullfk]

Bonsoir,

Je vais ajouter dans mon article le programme "Anti-WebMiner"

Merci pour l'info ;)

[Wullfk]

OK correction effectuée

Ceci dit moi aussi je n'ai pas tilté sur le lien

Merci

[devadip]

slt
si on a ces web miner installé sur notre PC, comment on fait pour les virer parce que je pense que les AV ne les détecteront pas?

[Wullfk]

Bonjour,

Les web-miner ne s'installent pas sur le PC ce sont des scripts qui sont utilisés par le navigateur lors de la navigation sur des sites qui utilisent un web-miner.
Pour bloquer l’utilisation de ces scripts, Lire ceci : Se prémunir du minage de crypto-monnaie à votre insu

[Malekal_morte]

Salut,

slt
si on a ces web miner installé sur notre PC, comment on fait pour les virer parce que je pense que les AV ne les détecteront pas?

Tu n'as pas dû lire le contenu du lien que j'ai donné : https://www.malekal.com/web-miner-javascript/
Les adblocker s'en chargent, donc ne t'inquiètes pas.
T'embêtes pas à installer une extension exclusive, ça n'est pas nécessaire.

[devadip]

Le navigateur Opera bloque les scripts de minage de moneros
Suite et source:
http://www.01net.com/actualites/le-navi ... 36441.html

[Malekal_morte]

Nocoin (le domaine) est déjà dans la liste Easylist.... comme je l'ai mentionné en début de ce sujet.
J'ai édité, il y a quelques semaines l'article : https://www.malekal.com/web-miner-javascript/
où sur un site de streaming, l'adresse du web miner était plus ou moins aléatoire.

Sur ce sujet, une nouvelle extension de Chrome (+ 100 k d'installation) avec un miner et une autre adresse aléatoire : https://www.bleepingcomputer.com/news/s ... ncy-miner/

Tout ça pour dire que nocoin, ce n'est pas vraiment la menace la plus importante, moyennement intéressant ce blocage.

[devadip]

slt
j'avais mis ça pour faire un peu de pub pour opera
mais l'article dit:

Cette dernière propose d’ailleurs, depuis septembre dernier, une protection contre les scripts de minage dans sa liste noire EasyPrivacy. Ceci dit, cette dernière semble moins complète que NoCoin.

après, rien n'empêche de penser que cette liste va s'étoffer

[Malekal_morte]

Coinhive arrive sur Youtube en par le biais de des malvertising.
Ce n'est pas forcément idiot de viser Youtube, outre le fait que c'est une plateforme populaire, on a tendance à laisser une page précise ouverte pendant le temps que la vidéo se déroule.
Pendant ce temps là, le miner peut s'exécuter avant de disparaitre si on passe à une page suivante.
Les sites statistiques (vidéo etc) sont donc privilégier.

Beaucoup d'internautes ont rapporté ces attaques CoinHive sur Youtube :

coinhive-youtube.jpg

Trend-Micro a rapporté ces attaques sur son blog.

Coinhive_infection_flow.jpg

Plusieurs domaines sont liés à cette campagne qui vont bien sûr changer dans le temps pour éviter les blacklists antivirus :

doubleclick1[.]xyz Malvertising Domain
doubleclick2[.]xyz Malvertising Domain
doubleclick3[.]xyz Malvertising Domain
doubleclick4[.]xyz Malvertising Domain
doubleclick5[.]xyz Malvertising Domain
doubleclick6[.]xyz Malvertising Domain
api[.]l33tsite[.]info Private Webminer Domain
ws[.]l33tsite[.]info Private Webminer Domain

Coinhive-DoubleClick.png

[Malekal_morte]

Message initial édité pour signaler que les sites pornographiques s'y mettent avec coin-hive.

[devadip]

Un article intéressant: http://labo.fnac.com/actualite/crypto-m ... du-monero/

Les hackers ont fait de Monero leur cryptomonnaie préférée et les attaques se multiplient. Plus de 4 000 sites gouvernementaux ont ainsi été piratés pour miner illégalement cette monnaie virtuelle.

Après les millions de smartphones Android détournés pour miner la cryptomonnaie Monero, c’est au tour des sites gouvernementaux d’être piratés. Le spécialiste en sécurité informatique Scott Helme a en effet découvert que plusieurs milliers de sites administratifs et gouvernementaux ont été détournés de leur fonction première. Coinhive, un programme JavaScript qui permet de miner du Monero, s’est invité dans le plug-in Browsealoud de Texthelp Systems. Ce petit programme optionnel a initialement été conçu pour faciliter la lecture des pages Web aux personnes malvoyantes et édité par Texthelp, précise Le Monde.

Une fois installé, le script de Coinhive va utiliser la puissance du processeur pour miner du Monero à l’insu des internautes. La pratique n’est pas nouvelle, elle est même connue sous le nom de « cryptojacking ». Toutefois, l’ampleur de cette nouvelle attaque est inédite pour Scott Helme. Ce spécialiste en sécurité informatique a recensé pas moins de 4 300 sites infectés par ce script malveillant. Il explique avoir fait cette découverte par hasard grâce à un ami. Ce dernier, intrigué de recevoir un message d’alerte de la part de son antivirus lorsqu’il se rendait sur le site de la CNIL britannique, a contacté Scott Helme.

Ce chercheur a alors tenté de comprendre ce qui se passait et il a découvert que de nombreux sites étaient infectés par ce script, dont des sites français. Au total, il en a répertorié 16, dont un seul a été rendu public, celui de la ville d’Asnières-sur-Seine. Texthelp a déjà réagi en annonçant la mise en place de tests de sécurité automatisés pour Browsealoud. Le plug-in a pour le moment été désactivé. En plus d’une enquête interne pour comprendre comment cette attaque a pu avoir lieu, l’éditeur annonce qu’un autre examen sera mené par un cabinet de conseil en sécurité informatique.