YouTube a laissé servir des annonces publicitaires exécutant des scripts pour miner de la cryptomonnaie
Sans informer les internautes
Le 2018-01-27 16:58:53, par Coriolan, Expert éminent sénior
Le cryptojacking, qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie, a pris de l’ampleur ces derniers jours, selon la firme de sécurité Trend Micro. Le déferlement de cette pratique serait dû à YouTube. En effet, des acteurs malveillants auraient abusé la plateforme publicitaire DoubleClick de Google pour servir des annonces exécutant du code, permettant au passage de dérober les ressources CPU et l’électricité des internautes pour générer la cryptomonnaie au profit des attaquants anonymes.
Cette vague d’annonces publicitaires abusives a commencé mardi ; les internautes consternés se sont tournés vers les réseaux sociaux pour faire part de leur mécontentement après que leurs antivirus ont pu détecter le code de cryptojacking quand ils ont visité YouTube. De plus, les alertes antivirus semblent concerner YouTube seulement, et le fait de changer de navigateur ne semble pas atténuer les messages d’alerte des antivirus.
« Le 24 janvier 2018, nous avons observé que le nombre de détections du mineur web Coinhive a triplé en raison d’une campagne de pub malicieuse, » ont écrit Chaoying Liu et Joseph C. Chen de Trend Micro. Les attaquants ont servi cette campagne dans les pays suivants : le Japon, la France, Taiwan, l’Italie et l’Espagne.
Coinhive est un script JavaScript à intégrer aux pages web qui permet de miner une cryptomonnaie, en l’occurrence le monero, une cryptomonnaie prisée par les cybercriminels en raison de son pseudo-anonymat. Lancé en mi-septembre, l’outil de minage a connu une explosion d’installation sur des dizaines de milliers de sites, volontairement ou suite à un piratage. Il faut noter que l’idée de départ du lancement de Coinhive est de permettre aux sites web de gagner de l’argent sans servir de publicité.
L’analyse des pages web plombées par cette campagne a révélé l’existence de deux scripts de minage séparés. Quand la page web est chargée, une annonce publicitaire légitime est servie alors qu’un nombre généré de façon aléatoire décide quel script de minage est exécuté. Dans 9 sur 10 des cas, les pubs vont utiliser le script JavaScript public (coinhive.min.js) fourni par Coinhive. Dans les cas restants, les annonces sur YouTube servent un code de minage privé (mqoj_1.js) qui permet aux attaquants de garder la commission de 30 % réservée à Coinhive. Naturellement, les deux scripts écrasent la puissance de processeur des machines, en accaparant 80 % des ressources CPU.
Et comme si cela n'était pas suffisant, les attaquants ont servi dans certains cas des images avec le code pour faire la publicité de faux programmes antivirus, le but étant d’extorquer de l’argent des victimes et installer des malwares sur leurs machines.
Notifié de l’existence de ces pratiques, un représentant de Google a informé plusieurs sources que les mesures nécessaires ont été prises pour supprimer les annonces et les acteurs malicieux des plateformes concernées. Le moteur de recherche a fait également savoir que le minage de cryptomonnaies par le biais d’annonces publicitaires est une nouvelle forme d’abus qui viole sa politique d’utilisation.
Le cryptojacking sans préavis des internautes fait partie des tendances inquiétantes qui ont émergé ces six derniers mois. Certes, des questions se sont posées sur la possibilité de mettre en place une alternative à la publicité, en exploitant la puissance de calcul inutilisée des internautes, ou du moins voir émerger un nouveau système de financement des sites web.
Mais au lieu de suivre une approche de transparence, les attaquants ont commencé à exploiter secrètement ces scripts pour dérober la puissance de CPU des utilisateurs, en exécutant parfois plusieurs malwares de minage simultanément. Les tests montrent aussi que cette pratique réduit considérablement l’autonomie de la batterie.
Si vous pensez que votre système tourne à plein régime sans aucune raison particulière, pensez à jeter un coup d’œil sur le gestionnaire de tâches, l’utilisation de votre processeur sera beaucoup plus grande si vous avez un outil de minage en train d’exploiter votre processeur.
Source : blog Trend Micro
Et vous ?
Voir aussi :
Cette vague d’annonces publicitaires abusives a commencé mardi ; les internautes consternés se sont tournés vers les réseaux sociaux pour faire part de leur mécontentement après que leurs antivirus ont pu détecter le code de cryptojacking quand ils ont visité YouTube. De plus, les alertes antivirus semblent concerner YouTube seulement, et le fait de changer de navigateur ne semble pas atténuer les messages d’alerte des antivirus.
« Le 24 janvier 2018, nous avons observé que le nombre de détections du mineur web Coinhive a triplé en raison d’une campagne de pub malicieuse, » ont écrit Chaoying Liu et Joseph C. Chen de Trend Micro. Les attaquants ont servi cette campagne dans les pays suivants : le Japon, la France, Taiwan, l’Italie et l’Espagne.
Coinhive est un script JavaScript à intégrer aux pages web qui permet de miner une cryptomonnaie, en l’occurrence le monero, une cryptomonnaie prisée par les cybercriminels en raison de son pseudo-anonymat. Lancé en mi-septembre, l’outil de minage a connu une explosion d’installation sur des dizaines de milliers de sites, volontairement ou suite à un piratage. Il faut noter que l’idée de départ du lancement de Coinhive est de permettre aux sites web de gagner de l’argent sans servir de publicité.
L’analyse des pages web plombées par cette campagne a révélé l’existence de deux scripts de minage séparés. Quand la page web est chargée, une annonce publicitaire légitime est servie alors qu’un nombre généré de façon aléatoire décide quel script de minage est exécuté. Dans 9 sur 10 des cas, les pubs vont utiliser le script JavaScript public (coinhive.min.js) fourni par Coinhive. Dans les cas restants, les annonces sur YouTube servent un code de minage privé (mqoj_1.js) qui permet aux attaquants de garder la commission de 30 % réservée à Coinhive. Naturellement, les deux scripts écrasent la puissance de processeur des machines, en accaparant 80 % des ressources CPU.
Et comme si cela n'était pas suffisant, les attaquants ont servi dans certains cas des images avec le code pour faire la publicité de faux programmes antivirus, le but étant d’extorquer de l’argent des victimes et installer des malwares sur leurs machines.
Notifié de l’existence de ces pratiques, un représentant de Google a informé plusieurs sources que les mesures nécessaires ont été prises pour supprimer les annonces et les acteurs malicieux des plateformes concernées. Le moteur de recherche a fait également savoir que le minage de cryptomonnaies par le biais d’annonces publicitaires est une nouvelle forme d’abus qui viole sa politique d’utilisation.
Le cryptojacking sans préavis des internautes fait partie des tendances inquiétantes qui ont émergé ces six derniers mois. Certes, des questions se sont posées sur la possibilité de mettre en place une alternative à la publicité, en exploitant la puissance de calcul inutilisée des internautes, ou du moins voir émerger un nouveau système de financement des sites web.
Mais au lieu de suivre une approche de transparence, les attaquants ont commencé à exploiter secrètement ces scripts pour dérober la puissance de CPU des utilisateurs, en exécutant parfois plusieurs malwares de minage simultanément. Les tests montrent aussi que cette pratique réduit considérablement l’autonomie de la batterie.
Si vous pensez que votre système tourne à plein régime sans aucune raison particulière, pensez à jeter un coup d’œil sur le gestionnaire de tâches, l’utilisation de votre processeur sera beaucoup plus grande si vous avez un outil de minage en train d’exploiter votre processeur.
Source : blog Trend Micro
Et vous ?
Voir aussi :
-
DoksuriExpert confirméavant, il fallait etre un vilain hacker pour exploiter les ordi des victimes, maintenant, il suffit d'etre un annonceur =)le 29/01/2018 à 9:05
-
zecreatorMembre expertAvant il fallait être un génie de la sécurité pour réussir à pirater les comptes bancaires des gens. Maintenant, tu fais une simple recherche "miner crypto-monnaie" sur Google, et t'as plein de tutos pour le faire, même sans être un informaticien chevronné.
Bref, je persiste à dire que cette histoire de monnaie virtuelle, c'est une idée merveilleuse.le 30/01/2018 à 7:57 -
headmaxMembre chevronnéJe suis pas trop pro Google mais il me semble que NVIDIA on créé du hardware + ou - dédicacé à la cryptomonnaie
.
Autre remarque j'essaye tant bien que mal a voir sa console l'image est flou on s'est pas de quoi il parle ... donc j'ai fait un tour sur son site et l'image est la même bref, j'aurais donné de la crédibilité si au moins on avait un visu du monstre mais il semble que pour lui c'est moins important que de donner son avis.le 27/01/2018 à 21:54 -
zecreatorMembre expertComme quoi, on croyait des métiers disparus, et puis voilà : le métier de mineur fait son grand retour
Si je comprends bien, nos PC sont utilisés à notre insu pour participer au calcul d'un gros algorithme pour gonfler la somme de cryptomonnaie. Mais qui aujourd'hui, utilise ces monnaies ? Des particuliers ? Des entreprises ? Dans quelles conditions ? Elles sont censées remplacer quoi ? Quel est l'objectif visé ?
A mon avis, c'est l'idée d'une monnaie numérique qui est louche à la base...le 28/01/2018 à 0:14 -
_champy_Membre régulierOuais bof tu fait vraiment confiance au secteur bancaire toi (ou tu bosse dedans perso moi j'ai arrêter ) ...A mon avis, c'est l'idée d'une monnaie numérique qui est louche à la base...
Beaucoup de truand utilise les crypto-monnaie car effectivement beaucoup de ces monnaies sont difficilement traçable (même si plein d'acteur américain hurle please regulation, ho my god regulation !!! )
L'idée de base était de créer une monnaie qui ne tombe pas joue le jour d'une quelconque régulation mais qui soit "auto-régulé".
La plupart (des truands) utilisent encore notre bon vieux système bancaire car c'est plus facile de graisser la patte à un banquier qu'as une crypto-monnaie et que de toute façon à un moment il faut bien que sa deviennent des vrais sous donc faudra graisser une patte.
Passer par un crypto-monnaie ne t'avance a rien coté blanchiment (ce n'est pas le cas de l'investissement,des échanges et autres bien sur, ce qui fait quand même moins de patte à graisser).
Ceux qui blanchisse sont les vrais banques dans tous les cas !!!
En revanche avec tout ce que ces sociétés (youtube and co) sont capable de pondre en terme de développement on se demande vraiment comment il font pour ne pas détecter ce genre de hack.
Je ne croit pas une seconde qu'une annonce ne passe pas par un test en SandBox avant d'être valider, soit les tests sont foireux soit les hack sont malin (au vu des codes on en doute).
Bref certains nous la mette profond mais personne ne sait de qui il s'agit
Sa pourrais être sympa dans un contexte débridé mais la ça fait plutôt malle 28/01/2018 à 20:13 -
zecreatorMembre expertle 28/01/2018 à 21:59