Майнинг в браузере, cryptojacking: все больше сайтов намеренно добавляют скрипт

18254
Просмотры
Майнинг в браузере

В последние месяцы обнаружены файлы JavaScript, которые, по-видимому, использовались для майнинга криптовалют непосредственно в браузере. Уже долго киберпреступники пользовались этим способом для получения быстрой прибыли. Обычно используются вредоносное ПО или потенциально нежелательные приложения, которые устанавливаются на компьютере жертвы, чтобы превратить мощность компьютера в монеты.

Процесс майнинга идет во время простого посещения сайта. Таким образом, нет необходимости заражать компьютер или использовать уязвимости. Все, что нужно, это браузер с активированным JavaScript (что является стандартным состоянием большинства браузеров).

Использование майнера для веб-сайтов связано с нечестным использованием. Это действие нагружает центральный процессор, что запрещено большинством рекламных сетей, чтобы не усложнять посещение сайта. Добыча криптовалют, особенно майнинг биткоина, требует больших мощностей. Но хакеры предпочли брать количеством.

Выгода:

  • не требует специального оборудования,
  • большой охват — огромное число сайтов, с огромным количеством посетителей
  • нет ограничений по региональности и прочим факторам

ESET провел исследование, где обнаружилась следующая статистика по странам: большинство заражений на территории России и Украины.

На рисунке показаны пять основных стран, затронутых этой угрозой. Важно отметить, что этот таргетинг, вероятно, связан с языком веб-сайтов, на которые вставляются скрипты, поскольку проводившие исследование смогли получить к ним доступ с IP-адреса США.

История майнинга через браузер

Идея добычи монет в браузерах не является чем-то новым. В 2013 году группа студентов основала компанию под названием Tidbit, которая предложила веб-сервис для майнинга биткоина в браузере. Вместо того, чтобы показывать посетителям рекламу, веб-мастера могут включать скрипты Tidbit и зарабатывать деньги через майнинг. Тем не менее, на учредителей завели дело в суде, поскольку они использовали вычислительную мощность посетителей сайта без их согласия.

Еще раньше также были подобные проекты, которые закрылись из-за неэффективности добычи, так как майнинг все усложнялся и переходил на GPU.

Как внедряется скрытый майнер

Метод распространения этого типа скрипта является ключевым моментом для определения, является ли он законным или вредоносным. В этом конкретном случае ESET нашли два разных способа: сразу запуск на сайте и зашитый в код баннеров JavaScript.

Вредоносное ПО

Как правило, основной вредоносный метод состоит в том, чтобы купить трафик в рекламной стели и распространять JavaScript вместо традиционной рекламы. Например, сервис listat действовал подозрительно, поскольку он, похоже, имитировал счетчик LiveInternet (LI stat).

Большинство сайтов, на которых по состоянию на июль 2017 года запускался вредоносный сценарий, наполнены потоковым видео или браузерными играми. Это разумно, так как пользователи этих ресурсов проводят на странице много времени и загруженность ЦП поднимается, что маскирует дополнительную нагрузку от майнера. Таким образом, это позволяет скриптам для майнинга работать дольше и использовать больше вычислительной мощности.

Владельцы сайтов встраивают майнер

В сети на тематических «хакерских» сайтах много туториалов, как настроить майнинг на сайте. Если коротко, что используется отказоустойчивая программа в WordPress Coinhive для криптовалюты Monero.

Для удовлетворения интереса читателей, без подробностей опишем процесс:

  • создается запись на mymonero.com и coinhive.com,
  • настраивается код JavaScript и добавляется на сайт.

Предлагаются уже готовые плагины или через ручную вставку рекламы добавляется код.

Можно точно сказать, что это грозит сайту санкциями, так что риск будет дороже полученной прибыли (около доллара в день при хорошей посещаемости).

Какие криптовалюты майнят через браузер

Feathercoin и Litecoin — криптовалюты, «вышедшие» из биткоина. Основное различие заключается в том, что они используют разные алгоритмы хэширования: neoscrypt и scrypt, соответственно. Цель состоит в том, чтобы уменьшить необходимость использования специального оборудования, такого как ASIC, а не обычных процессоров. Для их майнинга требуется не только мощность процессора, но и большой объем памяти.
Еще один альткоин, Monero, отличается от двух других. Его основной особенностью является более высокая конфиденциальность. Трудно отслеживать транзакции в сети. В частности, он использует кольцевые подписи, чтобы скрыть адрес отправителя среди нескольких возможных. Он также генерирует новый открытый ключ для каждой транзакции, чтобы скрыть реальный адрес.

Для майнинга используют asm.js вместо обычного JavaScript для реализации хеш-алгоритмов. Три из них названы:

  • scrypt.asm.js (Litecoin),
  • cryptonight.asm.js (Monero),
  • neoscrypt.asm .js (Feathercoin).

Адрес кошелька Feathercoin во всех сценариях одинаковый, а для Monero используются несколько адресов. Однако есть основания полагать, что все они принадлежат к одной и той же группе.

Майнинг в браузере, cryptojacking: все больше сайтов намеренно добавляют скрипт

Как обнаружить cryptojacking

Криптоджекинг может повлиять на работу оборудования и безопасность. Его обнаружение может быть затруднено. Код майнинга может скрываться от сигнатурных инструментов обнаружения, то есть настольные антивирусные инструменты не будут их видеть. Вот что можно сделать для защиты, например, корпоративной сети:

Обучите свою службу находить майнеры. Иногда первым признаком является замедленная работа компьютера. Другие сигналы, на которые следует обратить внимание: перегрев, что может привести к сбоям процессора или охлаждения. Это особенно касается тонких мобильных устройств, таких как планшеты и смартфоны.

Разверните решение для мониторинга сети. Криптоджекинг легче обнаружить в корпоративной сети, чем дома, потому что большинство домашних решений не обнаруживают его. Легко обнаружить через программы сетевого мониторинга.

Мониторинг периметра сети, который просматривает весь веб-трафик, имеет больше шансов обнаружить скрытые майнеры.

Как избавиться от скрытого майнера

Блокируйте скрипты на компьютере, уходите с сайта, обновите расширения браузера и жалуйтесь на скомпрометированные расширения/сайты.

Защититься можно, используя блокировщики запуска скриптов. Сейчас разрабатывают дополнительные расширения, типа NoCoin. Также известно, что AdBlock выпустил соответствующее расширение: как и в случае с навязчивой рекламой, фильтр закрывает нежелательные скрипты, выполняя функцию антимайнинга.

Проверить свой браузер можно на этом сайте: https://cryptojackingtest.com/