Les web miner (cryptojacking) et prise en otage des navigateurs internet

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Les web miner (cryptojacking) et prise en otage des navigateurs internet

Message par Malekal_morte » 18 oct. 2017 21:02

Paloaltonetworks a publié une étude sur les web miner qui consiste à miner de la crypto-monnaie en utilisant le navigateur internet des visiteurs.
Le procédé est déjà évoqué sur la page : Les Web Miner : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

La France est assez touché, avec notamment le site uptobox qui semble utiliser ces procédés.
Les sites de streaming illégaux devraient y passer, je pense pour la plupart, sachant qu'en France, ces sites sont très en vogue.
CoinMining_repartition.png
réparation des CoinMiner sur les navigateurs internet
Des sites pornographiques, torrent semblent avoir passé le pas.
Enfin, il y a les piratages de sites où les JavaScript de Miner sont injectés. Ainsi, les sites piratés peuvent générer de la crypto-monnaie pour les pirates à l'origine du détournement du site victime.

Un graph qui montre l'explosion du phénomène web miner depuis quelques jours.
CoinMining_graph.png
Grpah des CoinMiner sur les navigateurs internet
Les règles Adblock ont été mises à jour pour bloquer ces web miner.

L'étude de Paloaltonetworks : https://researchcenter.paloaltonetworks ... g-browser/

~~

Edition 11 Février : les sites de porn s'y mettent avec coin-hive massivement utilisés.

241 sites sont Top 100,000 sur Alexa et 629 (0.21%) sont top 300 sur Alexa.
repartition-web-miner-javascript.png
Répartition web miner sur sites pornographiques
Le tableau des domaines utilisés par ces miner :
repartition-web-miner-javascript-2.png
Répartition web miner sur sites pornographiques
repartition-web-miner-javascript-2.png (25.73 Kio) Consulté 2476 fois

~~

Edition Avril 2018 : des malvertising sur le réseau AOL ont permis la diffusion de Crypto-miner sur le site MSN.com
=> https://blog.trendmicro.com/trendlabs-s ... -platform/


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 803
Inscription : 25 févr. 2008 20:01

Re: Les web miner et prise en otage des navigateurs internet

Message par devadip » 19 oct. 2017 11:00

slt
il existe aussi une extension sur chrome et opera qui "bloquerai" ces web miner : https://github.com/xd4rker/MinerBlock
à voir si ça fonctionne et si c'est utile

Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Malekal_morte » 19 oct. 2017 14:26

Il était déjà cité sur la page mais bon les adblocker font le boulot.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2474
Inscription : 02 juin 2012 20:48

Re: Les web miner et prise en otage des navigateurs internet

Message par Parisien_entraide » 19 oct. 2017 19:02

Ca tombe bien j'avais commencé à préparer un article sur le sujet et tout est dit ou presque dont avec le complément de Wulfik :-)

Quelques liens en compléments :


Articles du 13 Octobre :

http://www.numerama.com/tech/297685-de- ... ultez.html
https://www.generation-nt.com/the-pirat ... 47045.html
MinignAdguard.png


ANTI-WEBMINER

Un petit programme qui peut ne servir à rien pour ceux qui utilisent des adblocker (Ublock, Adguard par ex qui le font depuis plusieurs semaines) et qui donc focalisent sur le navigateur, mais qui ne veulent pas s'encombrer de modules complémentaires (un tort pour les ad blockers) et/ou veulent agir en amont (dont hors navigateur) via le fichier HOSTS (voir article de Wulfik) mais qu'ils n'osent pas manipuler

Cela va donc bloquer la connexion vers l’URL de minage (Ex du cas d'un programme ou "normalement" cela est signalé dans le setup, et qu'il suffit de décocher, mais l'expérience montre comme avec les Pup's, pour ne citer qu'eux, que certains ne s'embarrassent pas avec ce signalement)


Le lien :

https://github.com/greatis/Anti-WebMiner


Téléchargement :

https://github.com/greatis/Anti-WebMiner/releases

ANtixebminer.png
Dernière édition par Parisien_entraide le 22 oct. 2017 10:31, édité 5 fois.
Only Amiga... was possible !

Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 685
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Wullfk » 19 oct. 2017 19:37

Bonsoir,

Je vais ajouter dans mon article le programme "Anti-WebMiner"

Merci pour l'info ;)
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com


Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 685
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Wullfk » 20 oct. 2017 00:27

OK correction effectuée

Ceci dit moi aussi je n'ai pas tilté sur le lien

Merci
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 803
Inscription : 25 févr. 2008 20:01

Re: Les web miner et prise en otage des navigateurs internet

Message par devadip » 21 oct. 2017 16:13

slt
si on a ces web miner installé sur notre PC, comment on fait pour les virer parce que je pense que les AV ne les détecteront pas?

Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 685
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Wullfk » 21 oct. 2017 16:24

Bonjour,

Les web-miner ne s'installent pas sur le PC ce sont des scripts qui sont utilisés par le navigateur lors de la navigation sur des sites qui utilisent un web-miner.
Pour bloquer l’utilisation de ces scripts, Lire ceci : Se prémunir du minage de crypto-monnaie à votre insu
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com

Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Malekal_morte » 21 oct. 2017 18:26

Salut,
devadip a écrit :
21 oct. 2017 16:13
slt
si on a ces web miner installé sur notre PC, comment on fait pour les virer parce que je pense que les AV ne les détecteront pas?
Tu n'as pas dû lire le contenu du lien que j'ai donné : https://www.malekal.com/web-miner-javascript/
Les adblocker s'en chargent, donc ne t'inquiètes pas.
T'embêtes pas à installer une extension exclusive, ça n'est pas nécessaire.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 803
Inscription : 25 févr. 2008 20:01

Re: Les web miner et prise en otage des navigateurs internet

Message par devadip » 30 déc. 2017 23:39

Le navigateur Opera bloque les scripts de minage de moneros
Suite et source:
http://www.01net.com/actualites/le-navi ... 36441.html

Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Malekal_morte » 31 déc. 2017 11:33

Nocoin (le domaine) est déjà dans la liste Easylist.... comme je l'ai mentionné en début de ce sujet.
J'ai édité, il y a quelques semaines l'article : https://www.malekal.com/web-miner-javascript/
où sur un site de streaming, l'adresse du web miner était plus ou moins aléatoire.

Sur ce sujet, une nouvelle extension de Chrome (+ 100 k d'installation) avec un miner et une autre adresse aléatoire : https://www.bleepingcomputer.com/news/s ... ncy-miner/

Tout ça pour dire que nocoin, ce n'est pas vraiment la menace la plus importante, moyennement intéressant ce blocage.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 803
Inscription : 25 févr. 2008 20:01

Re: Les web miner et prise en otage des navigateurs internet

Message par devadip » 31 déc. 2017 16:06

slt
j'avais mis ça pour faire un peu de pub pour opera PDT_001
mais l'article dit:
Cette dernière propose d’ailleurs, depuis septembre dernier, une protection contre les scripts de minage dans sa liste noire EasyPrivacy. Ceci dit, cette dernière semble moins complète que NoCoin.
après, rien n'empêche de penser que cette liste va s'étoffer

Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Malekal_morte » 27 janv. 2018 11:35

Coinhive arrive sur Youtube en par le biais de des malvertising.
Ce n'est pas forcément idiot de viser Youtube, outre le fait que c'est une plateforme populaire, on a tendance à laisser une page précise ouverte pendant le temps que la vidéo se déroule.
Pendant ce temps là, le miner peut s'exécuter avant de disparaitre si on passe à une page suivante.
Les sites statistiques (vidéo etc) sont donc privilégier.

Beaucoup d'internautes ont rapporté ces attaques CoinHive sur Youtube :
coinhive-youtube.jpg
Le miner CoinHive sur Youtube
Trend-Micro a rapporté ces attaques sur son blog.
Coinhive_infection_flow.jpg
Plusieurs domaines sont liés à cette campagne qui vont bien sûr changer dans le temps pour éviter les blacklists antivirus :
doubleclick1[.]xyz Malvertising Domain
doubleclick2[.]xyz Malvertising Domain
doubleclick3[.]xyz Malvertising Domain
doubleclick4[.]xyz Malvertising Domain
doubleclick5[.]xyz Malvertising Domain
doubleclick6[.]xyz Malvertising Domain
api[.]l33tsite[.]info Private Webminer Domain
ws[.]l33tsite[.]info Private Webminer Domain
Coinhive-DoubleClick.png
Le miner CoinHive sur Youtube
Coinhive-DoubleClick.png (9.47 Kio) Consulté 2629 fois
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 96543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les web miner et prise en otage des navigateurs internet

Message par Malekal_morte » 11 févr. 2018 12:00

Message initial édité pour signaler que les sites pornographiques s'y mettent avec coin-hive.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 803
Inscription : 25 févr. 2008 20:01

Re: Les web miner et prise en otage des navigateurs internet

Message par devadip » 14 févr. 2018 23:57

Un article intéressant: http://labo.fnac.com/actualite/crypto-m ... du-monero/
Les hackers ont fait de Monero leur cryptomonnaie préférée et les attaques se multiplient. Plus de 4 000 sites gouvernementaux ont ainsi été piratés pour miner illégalement cette monnaie virtuelle.

Après les millions de smartphones Android détournés pour miner la cryptomonnaie Monero, c’est au tour des sites gouvernementaux d’être piratés. Le spécialiste en sécurité informatique Scott Helme a en effet découvert que plusieurs milliers de sites administratifs et gouvernementaux ont été détournés de leur fonction première. Coinhive, un programme JavaScript qui permet de miner du Monero, s’est invité dans le plug-in Browsealoud de Texthelp Systems. Ce petit programme optionnel a initialement été conçu pour faciliter la lecture des pages Web aux personnes malvoyantes et édité par Texthelp, précise Le Monde.

Une fois installé, le script de Coinhive va utiliser la puissance du processeur pour miner du Monero à l’insu des internautes. La pratique n’est pas nouvelle, elle est même connue sous le nom de « cryptojacking ». Toutefois, l’ampleur de cette nouvelle attaque est inédite pour Scott Helme. Ce spécialiste en sécurité informatique a recensé pas moins de 4 300 sites infectés par ce script malveillant. Il explique avoir fait cette découverte par hasard grâce à un ami. Ce dernier, intrigué de recevoir un message d’alerte de la part de son antivirus lorsqu’il se rendait sur le site de la CNIL britannique, a contacté Scott Helme.

Ce chercheur a alors tenté de comprendre ce qui se passait et il a découvert que de nombreux sites étaient infectés par ce script, dont des sites français. Au total, il en a répertorié 16, dont un seul a été rendu public, celui de la ville d’Asnières-sur-Seine. Texthelp a déjà réagi en annonçant la mise en place de tests de sécurité automatisés pour Browsealoud. Le plug-in a pour le moment été désactivé. En plus d’une enquête interne pour comprendre comment cette attaque a pu avoir lieu, l’éditeur annonce qu’un autre examen sera mené par un cabinet de conseil en sécurité informatique.


Répondre

Revenir vers « Actualité & News Informatique »