Un site continue à miner de la cryptomonnaie même lorsque vous fermez la page principale
En cachant une fenêtre derrière la barre des tâches

Le , par Stéphane le calme, Chroniqueur Actualités
Si les sites Web qui se servent du script de minage de cryptomonnaies de CoinHive sont de plus en plus nombreux, au moins un des acteurs a su se différencier des autres : pour continuer de faire du minage même quand l’utilisateur ferme l’onglet du site, il a ouvert une petite fenêtre de navigation qu’il place derrière la barre des tâches de Windows.

La technique en elle-même n’est pas nouvelle : elle est connue sous le nom de pop-under, une astuce qui, comme son nom l’indique, permet de générer une nouvelle fenêtre séparée du navigateur principal.

C’est le chercheur en sécurité de Malwarebytes Jerome Segura qui a découvert la supercherie. L’acteur malveillant se sert alors de JavaScript pour configurer la taille de la fenêtre et ses coordonnées (position) sur l’écran de l’utilisateur. Selon Segura, ce site Web – un portail pour adultes – a utilisé la formule suivante pour calculer dynamiquement la position de cette nouvelle fenêtre.

Code JavaScript : Sélectionner tout
1
2
Horizontal position = (current screen width) – 100px
Vertical position = (current screen height) – 40px

Pour la plupart des utilisateurs, cela va afficher une petite fenêtre qui va se cacher sous la barre des tâches de Windows. Une version personnalisée du script JavaScript de minage de CoinHive sera alors chargée dans cette fenêtre.

À moins que les utilisateurs n'aient activé la transparence avec leur interface de système d'exploitation, ils ont peu de chances de repérer cette fenêtre cachée. Sauf s’ils se mettent à parcourir la liste des processus dans le Gestionnaire des tâches de Windows. En effet, contrairement à d’autres sites faisant du cryptojacking (qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie), cette version personnalisée n’emploie que très peu de ressources de l’ordinateur sur lequel elle est chargée, sans doute pour ne pas ralentir la vitesse d’exécution de la machine et par la même occasion de passer sous les radars.

Selon Segura, si les utilisateurs détectent quelque chose d’inhabituel, ils peuvent utiliser le Gestionnaire des tâches de Windows pour tuer le processus du navigateur indésirable associé à cette fenêtre ou redimensionner la barre des tâches de Windows et forcer la fenêtre à devenir visible.


Cette technique semble fonctionner uniquement avec les navigateurs Chrome et n'a été repérée que sur un seul site, youporn[.]sexy.

Malwarebytes a déclaré dans un rapport publié plus tôt ce mois-ci que son produit de sécurité a bloqué 8 millions de demandes de services de cryptojacking sur une base quotidienne. La plupart des produits de sécurité et des extensions de navigateur bloquant les publicités sont compatibles avec le blocage des mineurs dans les navigateurs.

Selon le chercheur en sécurité Willem de Groot, en mi-novembre, au moins 2496 sites se servaient du script de Coinhive, contre 220 lorsque Adguard a effectué ses tests en mi-octobre. Il a assuré que 85 % de ces sites génèrent de la cryptomonnaie seulement pour deux comptes Coinhive. Selon le nombre total de visiteurs, la durée de leur visite sur un site affecté et la puissance de leur ordinateur, les revenus générés par ces comptes pourraient être considérables (tout comme le montant total des frais supplémentaires provoqués par la procédure – factures d'électricité).

Les 15 % restants sont répartis sur d’autres comptes Coinhive, mais Willem pense détenir des éléments de preuves qui suggèrent que ces comptes sont contrôlés par un seul individu ou groupe : « Comme CoinHive nécessite un identifiant unique, nous pouvons analyser la distribution du cryptojacking. Sur 2496 sites infectés, 85 % sont liés à seulement deux comptes CoinHive, tandis que les 15 % restants sont répartis sur des comptes CoinHive uniques. Parce que l'étiquette ajoutée à ce segment de 15 % est toujours le nom du site, je pense que cette augmentation de cryptojacking sur les sites en ligne peut être attribuée à seulement trois individus ou groupes. »

Source : BC

Voir aussi :

Les sites qui se tournent vers le minage de cryptomonnaies comme moyen alternatif de financement, sont de plus en plus nombreux
The Pirate Bay recommence à se servir d'un mineur de monnaie électronique sur son site, sans prévenir les utilisateurs


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 30/11/2017 à 12:51
=> voilà aussi l'intérêt de toujours fermer le(s) browser(s) quand on n'en a plus besoin.
Avatar de Altor Altor - Membre habitué https://www.developpez.com
le 30/11/2017 à 14:21
La fenêtre n'est pas sensée apparaître dans la barre des tâches si elle provient bien d'un navigateur ?
Avatar de arond arond - Membre éclairé https://www.developpez.com
le 30/11/2017 à 15:31
Citation Envoyé par Altor Voir le message
La fenêtre n'est pas sensée apparaître dans la barre des tâches si elle provient bien d'un navigateur ?
Surement mais l'intéret est que temps que le navigateur est ouvert c'est discret sa se mélange au reste.
Avatar de neuneutrinos neuneutrinos - Membre habitué https://www.developpez.com
le 30/11/2017 à 17:17
Va expliquer à ta femme que tu as passé des heures voir des jours à chercher la petite bête sur youporn.
Avatar de abbe2017 abbe2017 - Membre averti https://www.developpez.com
le 30/11/2017 à 20:24
je dois dire que la malice du programmeur qui a pensé à ça m'étonne. c'est machiaévéliquement intelligent et fin.

en même temps, il fut un temps où le navigateur n'avait pas le droit d'aller créer des choses en dehors de sa propre fenêtre...mais pourquoi donc a-t-on dérogé à cette régle....
Avatar de bizulk bizulk - Membre confirmé https://www.developpez.com
le 30/11/2017 à 22:49
Je serai toujours étonné par la malice de ces pirates !
Il y aurait donc une double signification au bitcoin
Je ne regarderai plus jamais youporn de la même façon... ooops..
Merci au chercheur pour avoir révélé les dessous de l'affaire
Allez
Avatar de Shmuel83 Shmuel83 - Nouveau Candidat au Club https://www.developpez.com
le 01/12/2017 à 12:41
J'ai développé une extension Chrome pour miner du monero avec coinhive : https://chrome.google.com/webstore/d...gpgikliagmmckn

Dans la popup de l'extension, j'affiche en % total du CPU. Si le minage est à 10% est que le CPU est à 100%, ça peut toujours donner une indication d'un problème soit sur un onglet, soit ailleurs sur le PC.

On parle site web qui mine, mais comme le dis abbe2017, on peut être machiavéliquement intelligent en intégrant ce code coinhive ou pas dans des logiciel tournant sous NodeJS par exemple, je pense à ceux qui utilise le framework Electron par exemple.
Avatar de Paul_Le_Heros Paul_Le_Heros - Membre habitué https://www.developpez.com
le 08/12/2017 à 0:48
Pour ma part, je suis toujours attentif à la consommation du processeur AMD XP avec gkrellm, surtout quand les fureteurs fonctionnent, soit 99% du temps. Et puis quand ça barde, le ventilateur commence à siffler. Je suis donc surpris qu'il ait fallu un chercheur pour trouver ça <troll><provo> Cela ne pouvait donc arriver que sous windows </provo></troll>

Par ailleurs, je dois manquer de culture et / ou de frustration : je ne connais pas le site en question !
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 08/12/2017 à 9:51
Bonjour,

Moi, j'ai été plus extrême. Déjà, d'avoir un NoScript, ça bloque les scripts à la noix de ce genre (sauf si j'autorise explicitement tel ou tel site), mais surtout, j'ai foutu coinhive dans mon fichier hosts en redirection sur localhost (comme cet exemple : http://someonewhocares.org/hosts/ ) ainsi, je coupe toute tentative de minage, car y a plus accès au site source.
Avatar de SurferIX SurferIX - Membre chevronné https://www.developpez.com
le 08/12/2017 à 10:14
[troll]Tu paie donc 134 € de licence Microsoft Windows 10 (et je sais de quoi je parle !!) pour avoir ça. C'est bien ! Sur Linux Mint on voit toujours toutes les fenêtres, tant pis pour les utilisateurs Windows (merci les ergonomes Microsoft !), ils n'ont que ce qu'ils méritent.[/troll]
Contacter le responsable de la rubrique Accueil