Une fenêtre très bien cachée, voici comment l'identifier
Jérôme Segura, analyste chez Malwarebytes, société américaine spécialiste de la cybersécurité, vient de détailler sur le blog de son entreprise le fonctionnement de cette arnaque. Tout d'abord, les hackers ont repéré un site peu protégé et qu'ils ont réussi à infecter avec un JavaScript. En l'occurrence, il s'agit d'un site pornographique ayant déjà la réputation de propager des malwares sur les ordinateurs de ses visiteurs. Une fois lancé, le site force l'ouverture d'une nouvelle fenêtre (le célèbre « tab-under »), mais cette fois-ci, elle est toute petite et s'ouvre en bas à droite de l'écran, derrière l'horloge. Sur les ordinateurs où la barre du bas de l'écran n'est pas configurée pour être semi-transparente (comme c'est le cas dans le thème par défaut dans Windows 7), de prime abord, on ne l'aperçoit même pas.Mais trois moyens existent tout de même pour la détecter. On peut par exemple agrandir la barre d'en bas, dans ce cas-là la fenêtre devient visible. Deuxième moyen : si l'on regarde l'icône du navigateur sur la même barre, on remarquera qu'elle est sur un fond plus clair, ce qui veut dire que le logiciel est actuellement lancé. Dernier moyen : faire « Ctrl + Alt + Suppr » sur votre clavier pour ouvrir le gestionnaire des tâches. Vous y apercevrez alors chrome.exe en tant que « processus actif ».
Un code ingénieux qui s'exécute sur tous les navigateurs et tous les systèmes d'exploitation
Que se passe-t-il donc dans cette fenêtre cachée ? Un code s'y lance qui mine de la cryptomonnaie Monero. Afin de ne pas créer de soupçons, il est paramétré pour ne pas consommer trop de ressources de l'ordinateur. On peut le voir en lançant le gestionnaire des tâches et en basculant sur l'onglet « Performance ». La puce de l'ordinateur est chargée à 50 % environ. Ce n'est pas énorme dans l'absolu, mais en comparaison avec les ressources que nécessite un site « normal », ça l'est. Sans surprise, il suffit de fermer la fenêtre malveillante pour voir le pourcentage chuter brutalement.Afin de lancer leur code, les hackers se servent du réseau publicitaire Ad Maven, qui s'avère facile à pirater. Une suite de codes, domicilés sur des domaines différents, est alors lancée. Le code malveillant (le dernier maillon de la chaîne), domicilé sur hatevery[.]info, fait appel à l'API de Monero, appelé « cryptonight ».
Afin de ne pas tomber victime de cette arnaque, deux conseils : suivre scrupuleusement les demandes de blocage des réseaux publicitaires qu'émet votre antivirus, et ne pas aller sur des sites réputés pas fiables.
Voir aussi :
- Google Chrome devrait bientôt bloquer le tab-under
- Flash Player une nouvelle fois victime de hackers
- Chrome 55 active HTML5 à la place de Flash par défaut
- Pwn2Own : Chrome et Safari tombent face aux hackeurs
- Chrome Cleanup : le nettoyage du navigateur amélioré
- Chrome Cleanup : le nettoyage du navigateur amélioré
- Les hackers préfèrent le phishing aux exploits
