Malwares, crypto-monnaies et fournisseurs

Si 2016 a connu l’explosion des ransomwares, une autre famille de malwares apparaît fréquemment depuis quelque temps dans les attaques de masse : les cryptominers.

Le principe de fonctionnement est simple et répond à la question : « Pourquoi attendre le versement hypothétique d’une rançon lorsque l’on peut directement exploiter les ressources d’une victime pour générer du revenu ? » En exploitant le principe du minage, qui rémunère en crypto-monnaie les opérations de vérification de transactions effectuées par la communauté.

Notamment, le malware Adylkuzz découvert en mai dernier exploitait l’attaque ETERNALBLUE pour s’implanter sur des serveurs exposés sur Internet et miner la crypto-monnaie Monero.

Plus récemment, le site CoinHive a mis à disposition du public un programme développé en JavaScript permettant de miner Monero. Si le code en lui-même n’est pas malveillant, la prépondérance du JavaScript sur le Web a rapidement abouti à des attaques injectant le script dans des pages afin d’exploiter le navigateur des visiteurs pour miner cette crypto-monnaie à leur insu. Deux types de scénarios ont principalement été identifiés :

  • Des acteurs malveillants déployant le script sur un site victime, en exploitant directement une faille ou par l’intermédiaire d’une régie publicitaire ;
  • Des Webmasters installant volontairement le programme pour générer des revenus additionnels sur les visites de leur site.

Nous avons identifié un troisième cas lors d’une investigation de routine. Une extension Chrome (Short URL (goo.gl), heureusement assez peu répandue) embarque depuis sa dernière version un fichier bit.js contenant le programme JavaScript de CoinHive, et semble l’exécuter en continu tant que l’extension est active.

Même si la malveillance est ici de petite envergure et n’a pas d’autre effet qu’une sur-utilisation du processeur des victimes, elle nous semble intéressante dans un contexte évoluant vers les attaques ciblées sur les fournisseurs. L’extension Web Developer pour Chrome avait par exemple été ciblée il y a quelques semaines et embarquait pendant quelques jours du code malveillant. A une autre échelle, l’infection NotPetya s’était répandue par la compromission du système de mise à jour du fournisseur du logiciel M.E. Docs. Enfin, l’attaque distribuant des versions backdoorées de CCleaner initialement découverte il y a deux semaines avait potentiellement affecté des millions d’utilisateurs pour en définitive ne cibler qu’un nombre restreint d’entreprises.

Ces évènements soulignent l’importance d’avoir une vision claire des solutions tierces installées sur un S.I. afin de mesurer l’impact d’une compromission de ces produits. Garantir la sécurité d’un élément sur lequel l’entreprise n’a pas complètement le contrôle est impossible, mais des mesures peuvent tout de même être appliquées dans le but de réduire la surface d’attaque, cloisonner les systèmes et faciliter la réaction lors d’un incident. Pour conclure et revenir sur NotPetya, respecter les règles d’hygiène « de base » sur le cloisonnement des comptes à privilèges suffisait à neutraliser les principaux effets du malware.