Android, Telegram, sites administratifs : le cryptojacking s’étend

Il ne se passe plus un jour sans découvrir l’étendue des dégâts des malwares ayant pour objectif de miner des monnaies virtuelles. Des milliers de sites gouvernementaux, des millions d’utilisateurs sur Android et même la messagerie sécurisée Telegram.

La propagation des malwares minant des crypto-monnaies est d’une rapidité quasi virale. En l’espace de quelques semaines, le phénomène a pris d’importantes proportions et touche un large spectre d’activités allant de YouTube au système de contrôle industriel. Le crypto-jacking a fait de nouvelles victimes.

Des milliers de sites gouvernementaux touchés

On apprenait ainsi que plusieurs milliers de sites gouvernementaux américains, australiens et anglais embarquaient le malware CoinHive. Ce dernier était caché dans un plugin BrowseAloud, cette extension aide les personnes malvoyantes à lire les pages web.

Parmi les sites touchés, on retrouve notamment le NHS, l’équivalent de la sécurité sociale anglaise, qui avait été victime de WannaCry, mais aussi le site britannique des prêts étudiants ou le régulateur en charge de la protection des données. Aux États-Unis, le site d’information judiciaire (uscourts.gov) ou celui de l’Université de New York ont été compromis. L’objectif du malware est toujours d’utiliser les ressources du PC (CPU) pour miner de la monnaie virtuelle, Monero en l’espèce.

Les utilisateurs Android redirigés et enrôlés

L’éditeur Malwarebytes a découvert une vaste campagne de redirection d’utilisateurs Android vers des sites générant de la crypto-monnaie. Les chercheurs ont déniché 5 domaines disposant du même Captcha et intégrant le code de CoinHive. Au moins 2 de ces domaines affichent une audience de 30 millions de visites par mois. En moyenne, les utilisateurs passent 4 minutes sur les sites. Un temps relativement court, mais avec une telle audience, c’est suffisant pour extraire de l’argent virtuel.

Les experts soulignent que les utilisateurs mobiles sont plus vulnérables à ces méthodes de redirection, car peu d’outils de filtrage ou de logiciels de sécurité sont installés sur les smartphones. Ils reconnaissent aussi que le minage du malware se déroule sans que l’utilisateur s’en aperçoive. Il peut constater un ralentissement, mais sans penser que la cause est un crypto-mineur.

Une zero day dans Telegram pour miner sous Windows

Kaspersky a trouvé une faille zero day dans la version Windows de Telegram. Cette vulnérabilité critique a été utilisée par des cybercriminels pour installer des malwares minant de la monnaie virtuelle (Monero, Zcash et Fantomcoin) sur les PC. La faille repose sur la méthode Unicode RLO (Right-to-Left Override), généralement employée pour le codage de langues qui s’écrivent de droite à gauche, telles que l’arabe ou l’hébreu.

Ce procédé peut s’appliquer au sein d’une image à télécharger en y plaçant un JavaScript. Le fichier « photo_high_re * U + 202E * gnp.js » devient ainsi à l’écran, « photo_high_resj.png ». Le tour est joué.

Les experts de Kaspersky ont averti Telegram du problème pour colmater la faille. Elle semble avoir été circonscrite à la Russie et son exploitation remonterait à mars 2017. Une période relativement longue pour se faire une petite cagnotte.

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s