Исследование: новый вид злокачественной рекламы - веб-майнинг


Published on 26 Oct. 2017
Img 3373

Coinhive - первый проект для браузерного криптовалютного майнинга становится источником дохода для интернет-злоумышленников. Его эволюция быстро переходит от монетизации трафика веб-сайтов в рабочий процесс, с которого выигрывает армия криптовалютных мошенников.

Об этом говорится в отчете Дэвида Балабана (David Balaban), исследователя кибербезопасности в Интернете с пятнадцатилетним стажем.

Coinhive  - это Java-решение, которое кто-угодно может загружать и интегрировать в сайт. На странице, на которой размещена такая библиотека JavaScript, будет запущен скрытый процесс, который использует ресурсы устройства пользователя для майнинга Monero. Все происходит через веб-браузер.

Это уникальное и разумное решение. Разработчики Coinhive утверждают, что это лучшая замена для скучных объявлений. Все, что ему нужно - это доступ к ЦП устройства. Веб-сайты собирают средства, а их посетители наслаждаются просмотром без рекламы.

Вскоре после выхода этого скрипта торрент-трекер Pirate Bay разместил его у себя на некоторое время. Поскольку реакция посетителей на это была отрицательной, то трекер лишился новинки, однако недавно вновь вернулся к майнингу в браузере.

Однако впоследствии злоумышленники разместили код майнера на нескольких других сайтах, а именно showtime.com и showtimeanytime.com, принадлежащих известной американской телевизионной сети. По неофициальной информации, злоумышленники взломали эти веб-сайты и установили JavaScript для майнинга Monero без всякого на то согласия их владельцев.

Альтернативная точка зрения предполагает, что согласие на это все же было, но только для пробного режима. Эта теория звучит более вероятно. По оценкам SetThrottle, Coinhive работала только 3% времени. В случае взлома это соотношение, безусловно, было бы выше. Мошенник осознает риск обнаружения, поэтому старается как можно быстрее получить больше возможностей.

Последняя оценка показывает, что сайты топ-100, такие как Pirate Bay, могут зарабатывать 127,5 XMR в месяц, что составляет почти 12 000 долларов США. Поскольку Pirate Bay входит в число 100 самых посещаемых сайтов мира, в то время как Showtime находится только в конце 10 000 лучших, последний будет зарабатывать гораздо меньше, чем первый.

Благими намерениями вымощена дорога в ад. Разработка Coinhive не является преступлением, но майнер используется другими, полезными для мошенников путями. Менее, чем через неделю после того, как разработчики представили свой продукт для майнинга Monero, киберпреступники широко интегрировали его в свою деятельность.

Первая атака была нацелена на популярное дополнение для браузера Google SafeBrowse. Укомплектованое расширение имело встроенный JavaScript Coinhive, так что в любое время, когда Chrome работал, проводился несанкционированный майнинг.

Кроме того, мошенники также практикуют похищение URL. Например, хакеры зарегистрировали сайт дубликат Twitter, Twitter.com.com (более неактивный). Если вы входите в Twitter таким образом, в вашем браузере должна запуститься страница майнинга Monero вместо настоящего сайта Twitter. Даже если не держать страницу открытой долго, короткий визит способствует бизнесу майнера. Наконец несколько таких сайтов, вводящих в заблуждение, могут приносить приличный доход их владельцу.

Дальнейшие наблюдения выявили многочисленные веб-страницы, в которые был встроен злонамеренный сценарий, работающий без авторизации веб-мастеров. Так много веб-сайтов на базе платформ таких как Magento и WordPress имели в своем исходном коде JavaScript для майнинга Monero.

Скорее всего, злокачественная реклама также не осталась в стороне. Был обнаружен даже один случай того, что преступная кибер-группировка использовала Coinhive для несанкционированного майнинга. Вредноносные объявления управляли веб-трафиком на страницах, претендующим на предоставление технической поддержки. Кроме поддельных предупреждений о безопасности, мошенники интегрировали интеллектуальный JavaScript в эти страницы без всякого предупреждения (что неудивительно).

Эксперты предсказывают, что интеграция майнера Monero в рекламное ПО - это вопрос времени. Вряд ли есть какие-либо препятствия, которые помешали бы разработчикам рекламного ПО модифицировать исходную полезную нагрузку своих программ, чтобы включить фоновый майнинг в сценарий Coinhive.

Релиз Coinhive доступен всем, кто хочет майнить. Его разработчики утверждают, что они не берут на себя никакой ответственности за то, как приложение будет использоваться. А хакеров, конечно, не будет грызть совесть за то, что они будут злоупотреблять майнером всеми возможными способами.

Уже сейчас общественность заметила, что Coinhive добывает криптовалюту через получение несанкционированного доступа к браузерам пользователей.

Компании по ІТ-безопасности готовятся противостоять широкомасштабным кампаниям криптомошенников. Крупные производители анти-рекламного ПО ввели Coinhive в черный список почти сразу после его выпуска.

Другие веб-разработчики разработали несколько специализированных решений. AntiMiner и minerBlock, которые исследуют процессы Chrome и обнаруживают и убивают любые виды майнинговой деятельности.

Исследователи вредоносных программ заявили о более чем 1,5 миллионах устройств, которые являются зараженными программами для скрытого майнинга. Отчет охватывает только первую половину этого года и только 100% подтвержденных случаев. Майнер криптовалюты также все чаще появляются в корпоративных сетях.

Разработчики Coinhive с гордостью признают, что их инструмент стал более популярен, чем они могли когда-либо мечтать, но их мечты сбываются уродливым путем. Хакеры слишком злоупотребляют приложением и превращают его в вредоносную программу.

 


More news

Стоимость Monero претерпела кратковременный рост


Благодаря росту на 12,38 долларов цена Monero сумела на время пробить отметку в 100 долларов

07 Nov. 2017

Южнокорейская биржа Coinone добавила в листинг лайткоин


Coinone, вторая по величине криптовалютная биржа Южной Кореи после Bithumb интегрировала лайткоин

31 Oct. 2017

Upbit, новая южнокорейская биржа альткоинов, открыта для бета-тестирования


Южнокорейский финансово-технологический стартап Dunamu, филиал крупнейшей в Южной Корее платформы для обмена сообщениями, открыл свою новую криптовалютную биржу для бета-тестирования.

28 Oct. 2017