Le site gouvernemental US-Chine lance des logiciels malveillants d'extraction de crypto-monnaie

L'épidémie de logiciels malveillants crypto-jacking est loin d'être terminée – et il semble que la dernière victime de cette tendance inquiétante est le site Web de l'USCAC.

Troy Mursch, chercheur en sécurité de Bad Packets Report a découvert que le site Web USCAC est infecté par un script malveillant conçu pour voler la puissance de calcul des visiteurs afin d'extraire subrepticement la crypto-monnaie.

Pour l'anecdote, le script malveillant trouvé sur l'USCAC est plus communément appelé Coinhive . Cela signifie que celui qui se faufile dans le script compte actuellement sur la célèbre crypto-monnaie anonyme Monero.

Pour des raisons de sécurité, nous avons décidé de ne pas lier directement le site concerné, Mursch avertissant que cette page pourrait rediriger les utilisateurs. »

La raison de cette violation est probablement le fait que le site USCAC fonctionne avec une version obsolète du système de gestion de contenu Drupal (CMS). . En effet, Mursch souligne que le code source USCAC indique que la dernière mise à jour du site web date de décembre 2011.

Par contexte, USCAC se décrit comme une "communauté d'entrepreneurs et de professionnels" avec 300 membres occidentaux et chinois et des milliers de compagnies d'affaires. Son but est de «renforcer l'amitié et la compréhension» entre les gouvernements américain et chinois.

«Les sites Web qui utilisent des versions obsolètes de Drupal (CMS) sont très vulnérables et peuvent être exploités en masse. "Malheureusement, j'ai trouvé 115 000 sites Drupal qui sont dépassés – certains n'ont pas été mis à jour depuis de nombreuses années. Jusqu'ici, nous avons trouvé des centaines de ces sites affectés par des attaques crypto-jacking. "

En effet, ce n'est pas le premier site Web gouvernemental à présenter le malware minier cryptocurrency.

Plus tôt cette année, Mursch a révélé une liste de 400 sites Web compromis qui exécutaient des versions Drupal obsolètes. La liste des pages concernées comprenait des sites gouvernementaux de pays tels que les États-Unis, le Mexique, la Turquie, le Pérou, l'Afrique du Sud et l'Italie; D'autres exemples notables incluent les sites du géant chinois Lenovo, du fabricant de matériel taïwanais D-Link et de l'Université de Californie à Los Angeles (UCLA).

Il est particulièrement inquiétant que des institutions bien financées comme celles ci-dessus n'aient pas su mettre à jour leurs sites Web et protéger leurs utilisateurs contre de telles attaques. Mais Troy laisse entendre que Coinhive pourrait aussi être partiellement responsable de la récente épidémie de malware crypto-jacking.

Mursch dit à Hard Fork qu'avant son rapport avec son collègue chercheur Brian Krebs publié en mars, Coinhive utilisait "laisser l'abus courir" sur sa plate-forme. "Ils le font toujours, mais au moins maintenant ils peuvent couper une clé", at-il ajouté. Désactiver une clé signifie essentiellement qu'il n'y a plus de minage pour l'utilisateur Monero qui possède la clé. Cependant, Mursch note que les acteurs malveillants peuvent facilement demander et obtenir une nouvelle clé – ce qui pourrait tourner l'affaire dans un cercle vicieux.

Mursch dit à Hard Fork qu'il n'a pas encore signalé le problème à USCAC, soulignant qu'il est irréalisable pour lui de contacter les opérateurs des 115 000 sites web concernés. Au lieu de cela, il a collaboré avec l'équipe de sécurité de Drupal et le CERT (Computer Emergency Response Team).

Mursch conseille à tous les opérateurs de sites Web utilisant la plateforme de contenu Drupal de se mettre à jour dès que possible. Alors que Mursch reste préoccupé par l'épidémie de crypto-jacking qui est là pour rester, il conseille qu'il y a des mesures que vous pouvez prendre pour vous protéger: vous pouvez en savoir plus à ce sujet ici . Publié le 7 juin 2018 – 10:27 UTC