1 janvier 2022
Paroles d'experts

Analyse d’un cryptojacking

Written by Pierre Texier
FacebookTwitterLinkedInMessenger

Qu’est-ce que le cryptojacking ?

Le cryptojacking, conçu pour rester complètement invisible pour l’utilisateur, est une menace en ligne qui consiste à utiliser les ressources d’un ordinateur ou d’un appareil mobile pour miner des cryptomonnaies, une forme d’argent virtuel.

Comprendre la provenance d’une alerte

Récemment une alerte antivirus est parvenue en provenance d’un poste utilisateur chez … non, on ne vous dira pas.

Norton AV propose de mettre en quarantaine le programme malveillant. Cette alerte est la conséquence de l’installation d’un jeu gratuit (supermario.exe) disponible sur Facebook. Le jeu n’a jamais fonctionné.

Avant de réinstaller le système Windows, il est intéressant de comprendre ce qu’il s’est passé. Suite à fouille des programmes en cours d’exécution avec Process Explorer (sysinternals), nous avons trouvé cette ligne de commande :

cmd /C « gpu_update –coin BEAM –pool eu1-beam.flypool.org –port 3333 –user  3aeb24ac2d812159fae94d8966503fd3506f87799f4ab8c5ef9621bb641127a04b5.rig0x58961db129ba-i8p4cxhf –tls 0 »

Le binaire gpu_update.exe est présent dans l’arborescence des fichiers de Firefox, son nom participe à le dissimuler, néanmoins seule la moitié des antivirus sur Virus Total le considère comme malveillant.

Le malware a tenté d’utiliser le poste pour miner du BEAM, et que l’anti-virus a bloqué le processus. Le BEAM est une crypto monnaie utilisant le protocole Mimblewimble apportant des propriétés de transactions de confidentialité et d’anonymat lors des transactions. La liste des cryptomonnaies tenue par Wikipédia ne référence pas cette crypto discrète.

En regardant la ligne de commande utilisée on reconnait l’utilisation du programme lolminer :

Lolminer - Download & configuration guide / cryptojacking

Deux valeurs forment le nom d’utilisateur :

wallet – 3aeb24ac2d812159fae94d8966503fd3506f87799f4ab8c5ef9621bb641127a04b5

– id du worker de la victime – rig0x58961db129ba-i8p4cxhf

Avec l’id du wallet on peut retrouver des informations sur les transactions et gains de l’attaquant.

On observe que l’attaquant gagne chaque jour sur son wallet à peu près 750 dollars depuis le 15.07.2021 et un peu moins avant cette date.

Daily earnings wallet - evolution / cryptojacking

Cours du BEAM au 12.08.2021 :

Cours du beam le 12.08.2021

On peut obtenir la liste de l’ensemble des workers qui participent à miner les cryptos pour ce wallet et qui rapportent de l’argent à l’attaquant. On dénombre ici plus de 2 000 différents (1 814 + 336).

Il s’agit de machines zombies similaires à celles que nous avons analysées.

Active workers cryptojacking

Du point de vue de l’attaquant, l’activité est plutôt rentable.

La complexité de l’attaque est faible et le BEAM apportant un niveau de confidentialité élevé. Il nécessite de moins recourir à des “crypto laundry” pour blanchir les sommes collectées et donc de devoir payer des commissions de blanchiment.

Ce cas est un exemple caractéristique de cryptojacking. Les réflexes cyber à adopter pour s’en prémunir sont relativement simples :

– Une bonne hygiène informatique, notamment maintenir ses logiciels à jour.

– Ne pas télécharger de logiciel sans être passé par une marketplace reconnue (Play Store, Apple Store). Il ne s’agit pas de dire que tous les logiciels présents sur les marketplaces sont fiables. Cependant, il s’agit de limiter les risques.