YouTube : quand la publicité devient un vecteur de cryptojacking
Une technique de cryptojacking propagée par publicités sur YouTube a été détectée. L’art de siphonner les ressources matérielles des ordinateurs d’internautes pour l’extraction minière de crypto-monnaies prend une nouvelle dimension.
Les malware visent logiquement les crypto-monnaies en raison de leur attractivité et de leur perspective de business. Et les combinaisons sont parfois surprenantes comme cette technique de cryptojacking qui vise les internautes qui se rendent sur YouTube.
A travers les navigateurs, des logiciels malveillants permettent d’exploiter du code JavaScript intégré quasiment sur tous les sites Web pour détourner les ressources d’un ordinateur. C’est le principe du cryptojacking.
A quel dessein ? Accélérer le minage des crypto-monnaies par des voies furtives. En siphonnant de la puissance de calcul informatique tierce. Ce qui permet de traiter plus rapidement les transactions en bitcoin par exemple.
Avec le cryptojacking, des pirates viennent siphonner les ressources (CPU, GPU) des ordinateurs des internautes à leur insu. Un « minage clandestin » qui se traduit par une baisse de performance de sa machine (80% de la puissance d’un CPU peut être ainsi détournée).
L’éditeur de solutions antivirus TrendMicro a repéré un usage déviant de Coinhive en mode cryptojacking.
Initialement, Coinhive délivre des API permettant de miner de la crypto-monnaie (Monero en l’occurrence) à partir des ordinateurs des visiteurs d’un site Web donné.
Un concept qui apparaît aussi pernicieux qu’un adware : comment monétiser l’exploitation d’un site Web en sollicitant via le navigateur les ressources des ordinateurs des visiteurs transformés en pivot de minage. Et ce, sans obtenir de consentement de la part des visiteurs qui se retrouvent devant le fait accompli.
Des pirates se sont emparés du script Coinhive en vue d’une exploitation détournée, signalait déjà Zataz dans un article remontant à octobre 2017.
Les visiteurs de YouTube pris pour cible
Cette fois-ci, on retrouve désormais des morceaux de code Coinhive insérés dans des bannières publicitaires diffusées sur YouTube. Il semblerait que des pirates aient ponctuellement réussi à tromper la vigilance de Google et de sa plateforme publicitaire DoubleClick en termes de sécurité.
Dans une contribution blog en date du 26 janvier, l’éditeur de logiciels antivirus Trend Micro signale un triplement de détections de « malvertising » associées à des mineurs Web de type Coinhive (augmentation de près de 285 % sur le seule journée du 24 janvier).
« Nous avons constaté une augmentation du trafic vers cinq domaines malveillants », signale l’éditeur de sécurité IT d’origine japonaise. Cinq pays seraient principalement ciblés : France, Italie, Japon, Espagne et Taïwan.
L’alerte a pris de l’ampleur donnée quand une myriade d’utilisateurs a fait état sur les réseaux sociaux du problème détecté par leur antivirus.
Le code d’extraction était installé lorsqu’ils visitaient certaines pages de YouTube. Le fait de changer de navigateur Internet n’y changeait rien.
Hey @avast_antivirus seems that you are blocking crypto miners (#coinhive) in @YouTube #ads
Thank you :)https://t.co/p2JjwnQyxz— Diego Betto (@diegobetto) 25 janvier 2018
Selon Trend Micro, ce sont bien certaines annonces publicitaires infectées et diffusées via YouTube qui ont contribué à l’activité croissante de Coinhive.
Seule solution préconisée par TrendMicro pour se protéger de cette menace cryptojacking : désactiver JavaScript sur son navigateur Internet.
Selon la BBC, Google a pris les mesures nécessaires « en moins de deux heures » pour stopper la propagation de cette campagne malware via YouTube.
(Crédit photo : Photo credit: portalgda on Visual hunt / CC BY-NC-SA)