Avertissement concernant les logiciels malveillants d'extraction illégale de cryptomonnaie

L'équipe d'intervention d'urgence informatique du Vietnam (VNCERT) a déclaré avoir enregistré de nombreux incidents de sécurité informatique impliquant le malware d'extraction de crypto-monnaie Coinhive caché sur des sites Web.

Lorsque les utilisateurs accèdent au site Web, la bibliothèque de codes Coinhive est automatiquement exécutée sur l'ordinateur de l'utilisateur en tant qu'extension ou directement dans le navigateur dans le but de « miner » des monnaies virtuelles Bitcoin, Monero... en utilisant illégalement les ressources de l'utilisateur (CPU, disque dur, mémoire...) et en les envoyant au portefeuille électronique du pirate.

Pour lutter contre ce logiciel malveillant de minage illégal de cryptomonnaies, le VNCERT a adressé un avis aux agences gouvernementales et aux entreprises leur demandant d'effectuer d'urgence les tâches suivantes. Plus précisément, pour les administrateurs de sites web : vérifier et analyser le code source afin de détecter les codes insérés ; les signes distinctifs incluent les mots-clés « coinhive.com », « coinhive », « coin-hive », « coinhive.min.js », « authedmine.com », authedmine.min.js ».

Avertissement concernant les logiciels malveillants d'extraction illégale de cryptomonnaie

Si vous découvrez que votre site Web a été injecté avec des codes d'exploitation comme mentionné ci-dessus, vous devez examiner et vérifier les vulnérabilités sur le serveur, les vulnérabilités sur le site Web et vérifier les comptes exposés qui ont le droit de modifier le code source, afin de corriger les vulnérabilités exploitées.

Pour les administrateurs réseau, il est nécessaire de surveiller et de supprimer le traitement sur les ordinateurs du réseau qui semblent avoir des connexions aux noms de domaine suivants : afminer.com, coin-have.com, coinerra.com, coinhive.com, coinnebula.com, crypto-loot.com, hashforcash.us, jescoin.com, ppoi.org, authedmine.com.

Utilisez un pare-feu pour bloquer les connexions sortantes vers les adresses suivantes : afminer.com, coin-have.com, coinerra.com, coinhive.com, coinnebula.com, crypto-loot.com, hashforcash.us, jescoin.com, ppoi.org, authedmine.com.

Analysez et vérifiez le système pour trouver et supprimer le code contenu dans les extensions de navigateur web. Il est recommandé d'installer les extensions : « No Coin Chrome » ou « minerBlock » pour Chrome ; « NoScripts » pour Firefox.

Les utilisateurs doivent vérifier l'utilisation du processeur de l'ordinateur à l'aide d'applications telles que le Gestionnaire des tâches et le Moniteur de ressources de Windows. Si l'ordinateur présente des signes de lenteur et que l'utilisation du processeur par les navigateurs ou les extensions est élevée, il est possible que l'ordinateur soit infecté par Coinhive. L'administrateur réseau doit être informé pour qu'il prenne les mesures nécessaires.

Selon le journal Hanoi Moi