Utilisation malveillante d’un logiciel de minage de crypto-monnaie

Un logiciel malveillant réalisant des opérations de minage de crypto-monnaie est un logiciel ayant pour but d’utiliser la puissance de calcul des processeurs (CPU ou GPU) de ses victimes afin  de miner des blocs de transactions de la blockchain sur laquelle la crypto-monnaie est basée. Miner, ou valider, des blocs de transactions est rémunérateur. Cependant, dans le cas d’un crypto-miner, c’est l’attaquant qui bénéficiera des gains.

A ce jour, il existe deux familles de crypto-mineurs :

  1. Les crypto-mineurs javascript : ils se trouvent sur des sites web malveillants soit directement dans le code de la page soit dans des publicités compromises. Ils sont exécutés directement sur le navigateur Internet de la victime ;
  2. Les crypto-mineurs exécutables : ils se diffusent par pièce jointe dans les mails, téléchargement depuis des sites web malveillants ou à la suite de l’exploitation de vulnérabilités dans les systèmes. Ces malwares sont exécutés sur les machines infectées.

En termes d’impacts, les mineurs de crypto-monnaie utilisant la puissance de calcul des processeurs, des ralentissements pouvant aller jusqu’à des dénis de service peuvent être causés sur des machines infectées.

Conseils en cas d’infection :

Lorsque des terminaux de votre structure sont affectés par un crypto-mineur, il est nécessaire d’identifier dans un premier temps la menace. 

Pour cela, il est conseillé de fermer tous les navigateurs internet des machines touchées. Si les ralentissements cessent, le crypto-mineur est vraisemblablement contenu dans les pages ou publicités des pages visités.

Si les anomalies de performance de la machine persistent tout de même,  le crypto-mineur est alors un exécutable qui tourne directement sur la machine. Le cas échéant, il est recommandé dans un premier temps d’isoler la machine touchée du reste du réseau de l’établissement pour éviter toute propagation. Puis en fonction des possibilités :      

  • Exécuter en mode sans échec un logiciel anti-malware pour supprimer l’exécutable
    ou
  • Supprimer manuellement l’exécutable malveillant

Si aucune des solutions précédentes ne donne satisfaction, il reste la possibilité de restaurer la machine à l’aide d’une sauvegarde saine. 

Protection :

Pour se protéger d’un crypto-mineur javascript, il est nécessaire d’installer un bloqueur de publicité sur le navigateur des postes de travail et de restreindre la navigation aux sites web de confiance.

Pour se protéger d’un crypto-mineur exécutable, il faut doter les postes de travail d’un logiciel antivirus et suivre les recommandations habituelles contre le hameçonnage.