Górnik Coinhive rozwija się wykładniczo

Uruchomiony 14 września Coinhive jest stosunkowo nową wtyczką JavaScript do witryn internetowych, która wzbudziła zainteresowanie społeczności kryptowalut. Jednak w ciągu ostatniego miesiąca urósł w tempie prawie wykładniczym i wydobywa ogromne ilości Monero dla tych, którzy używają go legalnie lub w inny sposób.

Został odkryty na stronach takich jak Piratebay, CBS ShowTime i wielu innych witrynach streamingowych. Niektóre z nich zostały wykonane przez samych webmasterów, podczas gdy inne wykorzystują luki w dobrze znanych witrynach internetowych, aby w sposób jawny zarabiać na nich.

To nie pierwszy raz, kiedy górnicy używają złośliwego oprogramowania do wydobywania kryptowaluty od niczego niepodejrzewających użytkowników. Niedawno laboratoria bezpieczeństwa Kaspersky odkryły, że hakerzy rozpowszechnili w tle exploity systemu Windows, które wydobywały Monero na komputerze użytkownika.

Co to jest Coinhive?

Strona internetowa Coinhive Monero MinerDla tych, którzy o tym nie słyszeli, Coinhive to biblioteka JavaScript, którą ktoś może wstawić do kodu swoich witryn internetowych. Następnie jest zaprogramowany tak, aby sam się wykonywał w przeglądarce użytkownika i wykorzystywał jego procesor do przetwarzania niektórych liczb w łańcuchu blokowym Monero.

Chociaż wielu może postrzegać to jako potencjalnie złośliwy skrypt, ma on legalnych użytkowników i został specjalnie opracowany w tym celu. Zamiast tego, aby strony te musiały polegać na przychodach z reklam, które mogłyby utrudniać użytkownikom wygodę, Coinhive umożliwia użytkownikom wnoszenie wkładu w witrynę dzięki mocy obliczeniowej.

Na przykład Zatoka Piratów, która jest dużą witryną z torrentami, wykorzystała górnika w sesji testowej. Trwało to niestety krótko, ponieważ wielu użytkowników skarżyło się, że ich przeglądarki są wykorzystywane na korzyść webmastera. Wydawało się jednak, że piłka się toczyła.

Następnie pojawiła się wiadomość, że witryna marki CBS Showtime zawierała ciekawego górnika w swoim kodzie. Było to dość podejrzane, ponieważ wiele osób uważało, że CBS nie zaimplementowałoby tego, ponieważ utrudniłoby to wygodę użytkownika. Jednak SetThrottle w kodzie na ShowTime został ustawiony na 0,97, co oznacza, że ​​kopie tylko 3% czasu. To nie jest typowy tryb działania cyberprzestępcy.

Korzystanie z Coinhive w witrynie może być rzeczywiście dość dochodowym przedsięwzięciem. Na przykład niedawna analiza wykazała, że ​​prawdopodobnie witryna z takim ruchem jak Pirate Bay 12 tys. Miesięcznie z górnictwa.

Jednak każda innowacja, bez względu na zamiar, może ostatecznie zostać wykorzystana z korzyścią dla cyberprzestępców i tak właśnie stało się w tym przypadku, gdy kod rozprzestrzenił się na wszystkie zakątki społeczności hakerskiej.

Wzrost wykładniczy

Ostrzeżenie o zagrożeniu Coinhive AVGPonieważ hakerzy zdali sobie sprawę z potencjału górnika, pojawił się on w wielu innych lokalizacjach. Na przykład został umieszczony w kodzie źródłowym wtyczki Chrome. Umożliwiłoby to hakerom wydobywanie informacji z użytkowników za każdym razem, gdy używają przeglądarki Chrome.

Hakerzy wykorzystali również domeny kameleona, aby oszukać użytkowników. Na przykład zarejestrowaliby domenę, taką jak facebooc.com lub podobną, która wygląda jak oryginalna witryna. Gdy użytkownicy wejdą do tej domeny, przechodzą do fałszywej witryny, na której jest uruchomiony skrypt. Oczywiście dzieje się to tylko przez krótki czas, ponieważ użytkownik w końcu się odbije.

Jeśli jednak haker miałby stworzyć wiele różnych domen kameleonów, takich jak ta, prawdopodobnie będzie w stanie wydobyć dużą ilość Monero w wielu różnych witrynach.

Oczywiście po co haker miałby tworzyć własną domenę, skoro może po prostu włamać się do istniejących witryn o dużym natężeniu ruchu. Stało się to, jak donosi Sucuri.net odkryli witryny z popularnymi systemami CMS WordPress i Magento, które zostały zhakowane i wstawiony kod.

Te skrypty mogą być również używane w wielu kampaniach adware, ponieważ hakerzy zdali sobie sprawę, że użytkownicy stają się coraz bardziej odporni na te reklamy. Dlatego mogliby zarobić znacznie więcej, gdyby po prostu załadowali reklamy za pomocą wtyczki JavaScript i pozwolili jej działać w tle.

Jak tego uniknąć

Z przyjemnością dowiesz się, że kilka wtyczek blokujących reklamy zaczyna zdawać sobie sprawę z zagrożenia, jakie stwarzają kopacze JavaScript, i zaczęli aktywnie blokować wykonywanie skryptu. Na przykład, Adblock Plus potrafi rozpoznać skrypt w tle.

Istnieje również szereg wtyczek do przeglądarek, które zostały opracowane wyłącznie w celu blokowania górników. Należą do nich takie wtyczki jak MinerBlock i Antiminer.

Subtelne zagrożenie

Chociaż cyberprzestępstwa, które pojawiają się na pierwszych stronach gazet, są tymi, które zwykle przerażają, czasami są mniej skuteczne niż te, które próbują dostać się pod radar. Właśnie do tego służą skrypty eksplorujące złośliwe oprogramowanie.

Co więcej, ponieważ pozostają niezauważone przez stosunkowo długi czas, ludzie ich nie zgłaszają i dlatego je usuwają. Oznacza to większy zysk dla górnika. Mimo że coinhive został opracowany jako alternatywna metoda zbierania funduszy na stronie, został wykorzystany.

Jako użytkownik, jeśli jesteś w stanie zainstalować odpowiednie środki zapobiegawcze w swojej przeglądarce, prawdopodobnie przeciwdziałasz zagrożeniu (przynajmniej na razie).

Wyróżniony obraz za pośrednictwem Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me