Le script Coinhive, qui permet de miner des moneros dans un navigateur, continue de faire des émules parmi les pirates. Ces derniers ont d’abord intégré ce code sur des sites hackés ou piégés, histoire de se faire des cyber-pépètes sur le dos des internautes durant leur visite. Mais ce minage était forcément limité dans le temps.
Certains pirates viennent maintenant de trouver le moyen pour allonger ce temps de minage. Leur secret ? Une minuscule fenêtre de navigateur qui s’ouvre quand l’internaute visite le site piégé et qui vient se loger en dessous de la barre des tâches. Même si l’utilisateur surfe sur un autre site ou ferme sa fenêtre, ce « pop-under » reste ouvert et continue d’exécuter son code de minage monero. Malin !
Cette astuce a été découverte par Jérôme Segura, chercheur en sécurité chez l’éditeur MalwareBytes, en surfant sur un site pour adultes (yourporn.sexy). Dans une note de blog, il montre un exemple de cette technique sur Google Chrome. Une manière de révéler cette fenêtre est de redimensionner la barre des tâches.
Ce malware n’est pas si simple à détecter. Un coup d’œil sur le gestionnaire des tâches permet certes de se rendre compte que la charge CPU est élevée, mais pas non plus de manière excessive. Les pirates, en effet, limitent la performance du script pour ne pas éveiller les soupçons. Par ailleurs, ils l’intègrent de telle manière sur le site à contourner les bloqueurs de pubs. Par contre, pour s’en débarrasser, c’est simple : il suffit de fermer la fenêtre de minage, soit à la main, soit au travers du gestionnaire des tâches. Au pire, il aura disparu au prochain démarrage de la machine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
