Майнинг в браузере: все больше сайтов намеренно добавляют скрипт

14842
Просмотры
Майнинг в браузере

В последние месяцы обнаружены файлы JavaScript, которые, по-видимому, использовались для майнинга криптовалют непосредственно в браузере. Уже долго киберпреступники пользовались этим способом для получения быстрой прибыли. Обычно используются вредоносное ПО или потенциально нежелательные приложения, которые устанавливаются на компьютере жертвы, чтобы превратить мощность компьютера в монеты.

Процесс майнинга идет во время простого посещения сайта. Таким образом, нет необходимости заражать компьютер или использовать уязвимости. Все, что нужно, это браузер с активированным JavaScript (что является стандартным состоянием большинства браузеров).

Использование майнера для веб-сайтов связано с нечестным использованием. Это действие нагружает центральный процессор, что запрещено большинством рекламных сетей, чтобы не усложнять посещение сайта. Добыча криптовалют, особенно майнинг биткоина, требует больших мощностей. Но хакеры предпочли брать количеством.

Выгода:

  • не требует специального оборудования,
  • большой охват — огромное число сайтов, с огромным количеством посетителей
  • нет ограничений по региональности и прочим факторам

ESET провел исследование, где обнаружилась следующая статистика по странам: большинство заражений на территории России и Украины.

На рисунке показаны пять основных стран, затронутых этой угрозой. Важно отметить, что этот таргетинг, вероятно, связан с языком веб-сайтов, на которые вставляются скрипты, поскольку проводившие исследование смогли получить к ним доступ с IP-адреса США.

История майнинга через браузер

Идея добычи монет в браузерах не является чем-то новым. В 2013 году группа студентов основала компанию под названием Tidbit, которая предложила веб-сервис для майнинга биткоина в браузере. Вместо того, чтобы показывать посетителям рекламу, веб-мастера могут включать скрипты Tidbit и зарабатывать деньги через майнинг. Тем не менее, на учредителей завели дело в суде, поскольку они использовали вычислительную мощность посетителей сайта без их согласия.

Еще раньше также были подобные проекты, которые закрылись из-за неэффективности добычи, так как майнинг все усложнялся и переходил на GPU.

Как внедряется скрытый майнер

Метод распространения этого типа скрипта является ключевым моментом для определения, является ли он законным или вредоносным. В этом конкретном случае ESET нашли два разных способа: сразу запуск на сайте и зашитый в код баннеров JavaScript.

Вредоносное ПО

Как правило, основной вредоносный метод состоит в том, чтобы купить трафик в рекламной стели и распространять JavaScript вместо традиционной рекламы. Например, сервис listat действовал подозрительно, поскольку он, похоже, имитировал счетчик LiveInternet (LI stat).

Большинство сайтов, на которых по состоянию на июль 2017 года запускался вредоносный сценарий, наполнены потоковым видео или браузерными играми. Это разумно, так как пользователи этих ресурсов проводят на странице много времени и загруженность ЦП поднимается, что маскирует дополнительную нагрузку от майнера. Таким образом, это позволяет скриптам для майнинга работать дольше и использовать больше вычислительной мощности.

Какие криптовалюты майнят через браузер

Feathercoin и Litecoin — криптовалюты, «вышедшие» из биткоина. Основное различие заключается в том, что они используют разные алгоритмы хэширования: neoscrypt и scrypt, соответственно. Цель состоит в том, чтобы уменьшить необходимость использования специального оборудования, такого как ASIC, а не обычных процессоров. Для их майнинга требуется не только мощность процессора, но и большой объем памяти.
Еще один альткоин, Monero, отличается от двух других. Его основной особенностью является более высокая конфиденциальность. Трудно отслеживать транзакции в сети. В частности, он использует кольцевые подписи, чтобы скрыть адрес отправителя среди нескольких возможных. Он также генерирует новый открытый ключ для каждой транзакции, чтобы скрыть реальный адрес.

Для майнинга используют asm.js вместо обычного JavaScript для реализации хеш-алгоритмов. Три из них названы:

  • scrypt.asm.js (Litecoin),
  • cryptonight.asm.js (Monero),
  • neoscrypt.asm .js (Feathercoin).

Адрес кошелька Feathercoin во всех сценариях одинаковый, а для Monero используются несколько адресов. Однако есть основания полагать, что все они принадлежат к одной и той же группе.

Защититься можно, используя блокировщики запуска скриптов. Сейчас разрабатывают дополнительные расширения, типа NoCoin. Также известно, что AdBlock выпустил соответствующее расширение: как и в случае с навязчивой рекламой, фильтр закрывает нежелательные скрипты, выполняя функцию антимайнинга.

Внедрению майнера для браузера также подверглись SafeBrowse и трекер The Pirate Bay (который, по текущим данным, запускал майнер на некоторых страницах намеренно, чтобы отказаться от рекламы на сервисе).

CryptoFox телеграм канал @crypto_fox
Подписывайтесь на наш канал