Par le passé, les hackers ont utilisé maints procédés pour se
servir de la puissance calculatrice de votre ordinateur, dans leur
intérêt et à votre insu bien sûr. Le dernier en date : le minage caché
de cryptomonnaie, directement depuis votre navigateur.
Une fenêtre très bien cachée, voici comment l'identifier
Jérôme Segura, analyste chez Malwarebytes, société américaine spécialiste de la cybersécurité, vient de détailler sur le
blog
de son entreprise le fonctionnement de cette arnaque. Tout d'abord, les
hackers ont repéré un site peu protégé et qu'ils ont réussi à infecter
avec un JavaScript. En l'occurrence, il s'agit d'un site pornographique
ayant déjà la réputation de propager des malwares sur les ordinateurs de
ses visiteurs. Une fois lancé, le site force l'ouverture d'une nouvelle
fenêtre (le célèbre «
tab-under
»), mais cette fois-ci, elle est toute petite et s'ouvre en bas à
droite de l'écran, derrière l'horloge. Sur les ordinateurs où la barre
du bas de l'écran n'est pas configurée pour être semi-transparente
(comme c'est le cas dans le thème par défaut dans Windows 7), de prime
abord, on ne l'aperçoit même pas.
Mais trois moyens existent tout de même pour la détecter. On peut par
exemple agrandir la barre d'en bas, dans ce cas-là la fenêtre devient
visible. Deuxième moyen : si l'on regarde l'icône du navigateur sur la
même barre, on remarquera qu'elle est sur un fond plus clair, ce qui
veut dire que le logiciel est actuellement lancé. Dernier moyen : faire «
Ctrl + Alt + Suppr » sur votre clavier pour ouvrir le gestionnaire des
tâches. Vous y apercevrez alors chrome.exe en tant que « processus actif
».
Un code ingénieux qui s'exécute sur tous les navigateurs et tous les systèmes d'exploitation
Que se passe-t-il donc dans cette fenêtre cachée ? Un code s'y lance qui
mine de la cryptomonnaie Monero. Afin de ne pas créer de soupçons, il
est paramétré pour ne pas consommer trop de ressources de l'ordinateur.
On peut le voir en lançant le gestionnaire des tâches et en basculant
sur l'onglet « Performance ». La puce de l'ordinateur est chargée à 50 %
environ. Ce n'est pas énorme dans l'absolu, mais en comparaison avec
les ressources que nécessite un site « normal », ça l'est. Sans
surprise, il suffit de fermer la fenêtre malveillante pour voir le
pourcentage chuter brutalement.
Afin de lancer leur code, les hackers se servent du réseau publicitaire
Ad Maven, qui s'avère facile à pirater. Une suite de codes, domicilés
sur des domaines différents, est alors lancée. Le code malveillant (le
dernier maillon de la chaîne), domicilé sur hatevery[.]info, fait appel à
l'API de Monero, appelé « cryptonight ».
Afin de ne pas tomber victime de cette arnaque, deux conseils : suivre
scrupuleusement les demandes de blocage des réseaux publicitaires
qu'émet votre antivirus, et ne pas aller sur des sites réputés pas
fiables.
Voir aussi :
REF.:
