Les meilleures analyses crypto directement dans votre boîte mail.
Le cryptojacking frappe les marchés : un logiciel malveillant de minage de Monero cible plus de 3 500 sites
- Des chercheurs signalent que plus de 3 500 sites web ont été compromis par un logiciel malveillant JavaScript furtif qui extrait du Monero sans le consentement de l'utilisateur.
- Ce logiciel malveillant utilise du code obscurci, des Web Workers et des connexions WebSocket pour échapper à la détection et siphonner en permanence la puissance du processeur.
- Les auteurs d'attaques de cryptojacking ciblent également les sites WordPress et les agences gouvernementales, notamment l'USAID, par le biais de violations de la chaîne d'approvisionnement etdent.
Les attaques de cryptojacking font leur retour, compromettant plus de 3 500 sites web et détournant discrètement les navigateurs des utilisateurs pour miner du Monero, une cryptomonnaie axée sur la confidentialité. Cette campagne a été découverte mardi par la société de cybersécurité c/side, près de sept ans après la fermeture du service Coinhive, qui avait popularisé cette technique depuis 2017.
D'après les chercheurs de c/side, le logiciel malveillant est dissimulé dans du code JavaScript obscurci qui déploie discrètement un mineur de cryptomonnaie lorsqu'un utilisateur visite un site infecté. Dès qu'un visiteur accède à la page compromise, le script évalue silencieusement la puissance de calcul de l'appareil. Il lance ensuite des processus Web Workers en parallèle en arrière-plan pour effectuer des opérations de minage, sans le consentement de l'utilisateur.
En limitant l'utilisation du processeur et en acheminant les communications via des flux WebSocket, le mineur échappe à la détection, se dissimulant derrière le trafic normal du navigateur. « L'objectif est de siphonner les ressources au fil du temps, à la manière d'un vampire numérique », expliquent les analystes de c/side.
Comment fonctionne le code de cryptojacking
c/side a détecté un code inséré sur un site web via un fichier JavaScript tiers chargé depuis https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. Au lieu de miner directement du Monero lors de son exécution initiale, ce code vérifie d'abord si le navigateur de l'utilisateur prend en charge WebAssembly, une norme permettant d'exécuter des applications exigeantes en ressources de traitement.
Le code évalue ensuite si l'appareil est adapté au minage et lance des processus Web en arrière-plan, appelés « worcy », qui gèrent les tâches de minage discrètement, sans perturber le thread principal du navigateur. Les commandes et les niveaux d'intensité de minage sont transmis par un serveur de commande et de contrôle (C2) via des connexions WebSocket.
Le domaine hébergeant le mineur JavaScript a déjà été associé à des campagnes Magecart, tristement célèbres pour le vol de données de cartes bancaires. Cela pourrait indiquer que le groupe à l'origine de la campagne actuelle a des antécédents en matière de cybercriminalité.
La menace se propage par le biais d'exploitations de failles de sécurité sur les sites web
Ces dernières semaines, des experts en cybersécurité ont découvert plusieurs attaques côté client ciblant des sites web fonctionnant sous WordPress. Ils ont repéré des méthodes d'infection permettant d'intégrer du code JavaScript ou PHP malveillant dans ces sites.
Des pirates informatiques ont commencé à exploiter le système OAuth de Google en intégrant du code JavaScript dans les paramètres de rappel associés à des URL telles que « accounts.google.com/o/oauth2/revoke ». La redirection fait transiter les navigateurs par une charge utile JavaScript dissimulée qui établit une connexion WebSocket avec le serveur du pirate.
Une autre méthode consiste à injecter des scripts via Google Tag Manager (GTM), qui sont ensuite directement intégrés dans les tables de la base de données WordPress, telles que wp_options et wp_posts. Ce script redirige silencieusement les utilisateurs vers plus de 200 domaines de spam.
D'autres méthodes consistent à modifier les fichiers wp-settings.php de WordPress afin de récupérer des scripts malveillants depuis des archives ZIP hébergées sur des serveurs distants. Une fois activés, ces scripts altèrent le référencement naturel d'un site et ajoutent du contenu pour améliorer la visibilité des sites frauduleux.
Dans un cas, du code a été injecté dans le script PHP du pied de page d'un thème, redirigeant ainsi l'utilisateur vers des sites web malveillants. Dans un autre cas, un faux plugin WordPress, portant le nom du domaine infecté, détectait les visites des robots d'exploration des moteurs de recherche. Il envoyait ensuite du contenu indésirable afin de manipuler le classement dans les résultats de recherche, le tout de manière invisible pour les visiteurs humains.
C/side a révélé que les versions 2.9.11.1 et 2.9.12 du plugin Gravity Forms avaient été compromises et diffusées via le site officiel du plugin lors d'une attaque par injection de code malveillant. Ces versions altérées contactent un serveur externe pour récupérer des données supplémentaires et tentent de créer un compte administrateur sur le site.
À l'automne 2024, l'Agence américaine pour le développement international (USAID) a été victime d'un cryptojacking après que Microsoft a alertée de la compromission d'un compte administrateur dans un environnement de test. Les attaquants ont utilisé une attaque par pulvérisation de mots de passe pour accéder au système, puis ont créé un second compte pour des opérations de minage de cryptomonnaies via l'infrastructure cloud Azure de l'USAID.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Florence Muchai
Florence couvre l'actualité des cryptomonnaies, des jeux vidéo, des technologies et de l'intelligence artificielle depuis six ans. Ses études en informatique à l'Université des sciences et technologies de Meru (MMUST) et en gestion des catastrophes et diplomatie internationale à la même université lui ont permis d'acquérir de solides compétences linguistiques, un sens aigu de l'observation et des aptitudes techniques pointues. Florence a travaillé au sein du groupe VAP et comme rédactrice pour plusieurs médias spécialisés dans les cryptomonnaies.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)