Des sites WordPress exploités par des mineurs de crypto-monnaie

Durant les derniers mois, des agences de sécurité ont portés beaucoup d’attention à des malwares de minage de crypto-monnaie. Ces agences ont commencées à dénombrer de plus en plus de cas d’infection de sites WordPress pour ces logiciels.

Dans cet article, nous verrons comment ce nouveau type d’attaque fonctionne, comment les pirates profites de cette situation et comment vous pouvez vous protéger.

Le minage de crypto-monnaie sur les sites WordPress

Pour ceux et celles qui ne sont pas habitués avec le terme « Crypto-monnaie », c’est une devise numérique qui agi comme alternative à la monnaie courante telle qu’on la connaît (Ex: Dollars, Euros, etc.). Les crypto-monnaies les plus populaires sont le Bitcoin, Ethereum, LitecoinMonero et bien d’autres.

Le minage de crypto-monnaie est un processus informatique très intense qui contribue aux opérations des crypto-monnaies elles-mêmes tout en générant de nouvelles monnaies. Pour un minage efficace, il vous faut un arsenal d’ordinateurs super puissants pour générer une forme substantielle de revenus. Vous devrez aussi évaluer les coûts élevés en énergie que cela va causer.

Tout récemment des plateformes Web sont sorties en autorisant les propriétaires de sites Internet d’utiliser le pouvoir collectif de leurs visiteurs pour miner des blocs. Ces propriétaires de sites s’inscrivent sur ces plateformes et reçoivent un code JavaScript à intégrer dans le code de leurs pages Web. Le mauvais côté à tout ça : les visiteurs en question peuvent ressentir un ralentissement ou tout simplement avoir une expérience de navigation de mauvaise qualité car les ressources de leur ordinateur seront fortement utilisées pour miner ces blocs. Cette question « d’éthique utilisateur » restera à débattre, mais je tiens fortement à voir jusqu’où cette pratique nous mènera.

Les premières tentatives d’inclusion de ces codes JavaScript sont survenus dans le mois de septembre. Par contre, le volume était encore très bas et les techniques n’étaient pas encore tout à fait au point selon les observations des experts en sécurité.

La majorité des attaques analysées utilisaient toutes des techniques bien connues comme l’exploitation d’une brèche avec l’outil Gravity Forms depuis le milieu de l’année 2016 ou la brèche Joomla com_jce utilisée depuis le début 2014. Quelques attaques se font aussi par l’insertion du code directement via l’administration WordPress via des comptes administrateurs mal protégés ainsi que des accès FTP compromis.

Comment les pirates profitent de ces scripts de minage de crypto-monnaie?

Les pirates inclus le code JavaScript à partir de Coinhive sur les sites dont ils ont été capables d’accéder au code-source via les techniques principales énumérées ci-dessus. Coinhive donne la possibilité aux gens de miner la crypto-monnaie connue sous le nom de Monero. Monero se différencie des autres crypto-monnaies comme le Bitcoin ou l’Ethereum car pour miner, vous n’avez pas besoin d’équipement spécialisé pour utiliser au maximum le GPU de la machine. Monero est en conséquence une solution avantageuse pour l’intégration dans des navigateurs Web en utilisant le JavaScript afin de consommé le GPU des visiteurs. Donc aucun ralentissement côté serveur.

Les propriétaires de sites placent leur code sur les pages de leurs sites Web. Le code de Coinhive utilise les ressources de l’ordinateur du visiteur pour miner la crypto-monnaie Monero. Un pirate peut donc placer ce code sur des milliers de sites Web et ainsi profiter de tous ces visiteurs pour générer des blocs.

Le code suivant est un exemple de fichier JavaScript à intégrer sur un site Internet pour miner avec la plateforme Coinhive peut ressembler à ceci :

Les recherches démontrent que le profit potentiel d’un pirate étant capable d’infecter 1000 sites Web via un code JavaScript semblable peut s’élever jusqu’à 2398$ en revenus mensuel.

Comment vérifier si votre site est infecté par un logiciel de minage

Il est important pour vous de détecter et de faire des vérifications fréquentes pour vous assurer qu’aucun pirate ai installé le logiciel de minage de crypto-monnaie sur votre site Internet.

La meilleure façon de vérifier cela, est d’ouvrir le code source de votre site Internet (CTRL+U) directement dans le navigateur et de chercher pour une balise semblable à celle illustrée ci-dessus.

(Si vous avez intentionnellement installé un script de ce genre sur votre site, évidement, vous pouvez ignorer cet avertissement.)

Parfois, ces scripts de minage peuvent être cachés ou masqués, nous vous recommandons donc de faire le tour de tous vos dossiers afin de détecter une anomalie. Vous pouvez aussi effectuer ces actions pour vous assurer de rester en sécurité :

  • Toujours garder votre WordPress à la version la plus à jour;
  • Toujours mettre à jour vos outils (plugins) et toujours vérifier la qualité ou la sécurité d’un outils avant de l’installer sur votre site;
  • Installer des logiciels de surveillance tel quel Wordfence pour scanner votre site;
  • Demander à votre fournisseur d’hébergement Web de faire des backups réguliers.

En somme, la crypto-monnaie étant la vedette montante du Web, il est normal de voir de plus en plus de monde se tourner vers ces devises tant pour les particuliers que pour les pirates. Mettre à jour son WordPress est toujours une bonne affaire à faire pour vous assurer d’un maximum de sécurité !

 

 

Rejoingez mon aventure et recevez

de mes dernières nouvelles et articles en premiers.

Je déteste le SPAM aussi, faites-moi confiance. Ce formulaire est propulsé par MailChimp.