Le cryptojacking des navigateurs Web se fait plus discret

Le minage de crypto-deniers s’impose comme une tendance forte des activités malicieuses. Elle affecte serveurs et postes de travail, notamment via les navigateurs, par le truchement de code javascript parfois dissimulé dans des pages Web. Et en la matière, certains rivalisent de créativité pour échapper aux protections.

En janvier, les équipes de Sucuri relevaient ainsi du code malicieux caché, chiffré, dans le fichier header.php d’un thème Wordpress : « quatre lignes de code au total. Chacune, une fois déchiffrée, joue un rôle différent ». Les deux dernières cachent ainsi un mineur CoinHive qui n’apparaît qu’aux visiteurs réels : les bots ne le voient pas.

Mais il y a plus subtile encore : le déport des clés identifiant le site de minage sur un serveur tiers, en l’occurrence Github, d’où elles sont chargées, avant d’être injectées à la volée dans le code de minage. Mieux encore : l’injection au chargement de variations du code de minage stockées ailleurs, sous forme chiffrée, et dans cet exemple encore, sur Github.

Et la créativité ne s’arrête pas là. Les experts de Sucuri soulignent l’évolution : « au début, [les cyber-délinquants] injectaient simplement des scripts CoinHive avec leurs propres clés sur des sites compromis. Puis ils ont commencé à jouer avec le maquillage et l’hébergement du code CoinHive sur des sites tiers ». Et d’autres ont continué d’aller plus loin.

Et Malwarebytes ne peut que constater, lui-aussi, un recours croissant à des techniques d’évasion pour contourner des systèmes de blocage du chargement de contenus non voulus, comme les publicités. Parce que cela passe par des listes noires et qu’il ne s’agit dès lors, ni plus, ni moins, que d’un énième jeu du chat et de la souris.

Mais ce que les attaquants ne peuvent cacher, c’est la consommation de ressources processeur provoquée par leur code de minage de crypto-deniers. Et pour l’utilisateur final, cela reste donc un indicateur précieux.