Новый виток серого майнинга - браузерный майнинг

С появлением javascript-майнеров у хакеров значительно расширились возможности для паразитной добычи криптовалют.

Серый майнинг или же попросту использование устройств пользователей для майнинга криптовалют в пользу злоумышленников все еще является одной из самых популярных целей взлома т.к. приносит достаточно быстрый и немалый доход хакерам. Мы уже рассказывали о сером майнинге в наших статьях "Берегите свои ресурсы: Майнеры атакуют" и "Серый майниг - что это такое?".


Все новые и новые варианты

Летом 2017 произошло событие, которое дало новый толчок развитию паразитного майнинга - на рынок вышел javascript-майнер Coinhive, предназначенный для добычи Monero. Владельцы сайтов, подключившись к сервису Coinhive и разместив соответствующий код у себя на сайте, могут получать дополнительный доход за счет использования вычислительных мощностей посетителей ресурса - пока пользователь находится на сайте, его браузер майнит Monero для владельца сайта. На данный момент, по данным publicwww.com данный сервис используется более чем на 20 тысячах сайтов. Coinhive задумывался как возможность для владельцев ресурсов отказаться от надоедливой рекламы, крадущей место на сайте, а доход получать за счет майнинга.

Так, в сентябре 2017 один из самых известных торрент-трекеров “The Pirate Bay”, находясь в поиске альтернатив заработку на рекламе, тестировали скрипт майнинга в течение суток. В конце этого же месяца практически все сайты, принадлежащие компании “Украинский Медиа Холдинг” (Korrespondent.net, Football.ua, iSport.ua, Tochka.net) опробовали скрытый майнинг, но, после жалоб пользователей в социальных сетях, скрипт майнинга был удален со всех ресурсов холдинга. Даже интернет-провайдер, обеспечивающий доступом в Интернет, сеть кофеен Starbucks в Буэнос Айресе не побрезговал возможностью заработать, добывая Monero на устройствах своих посетителей, пока они выполняли вход в сеть.

К сожалению, достаточно быстро, скрипт от Coinhive превратился в самое распространенное нежелательное ПО (malware) и был после взломов замечен даже на таких высокопосещаемых ресурсах как The Los Angeles Times, Blackberry, Politifact и Showtime.

Coinhive получает 30% от всей добытой с помощью их скрипта криптовалюты. Чаще всего, они достаточно оперативно реагируют на сообщения (только непосредственно от владельцев взломанных ресурсов) о неправомерном использовании их сервиса злоумышленниками и блокируют аккаунт хакера, но при этом, работа скрипта на взломанном сайте не останавливается и Coinhive начинает забирать себе 100% намайненного. Их технические специалисты все еще занимаются устранением данного недостатка в работе системы, но пока "не могут", по их словам, найти эффективного решения.


Скрытые возможности

С момента появления javascript-майнеров у хакеров появился еще один стимул взлома веб-серверов - ведь можно не просто запустить майнер на самом сервере, а на все сайты, размещенные на нем незаметно установить скрипт-майнер, который будет незаметно для владельца ресурса добывать Monero для злоумышленника достаточно долгое время. Взломам чаще всего подвергаются сайты, работающие на движках WordPress, Magento, OpenCart, Drupal. При этом, владелец сайта, чаще всего, даже не подозревает о взломе т.к. данный взлом практически не имеет внешних признаков. Для того, чтобы обезопасить себя от подобных неприятностей, администраторам сайтов необходимо постоянно обновлять серверное ПО и движки сайтов, устанавливать самые свежие патчи безопасности и проводить регулярный контроль изменений файлов и данных на серверах.

Но, еще эффективнее заразить не просто веб сайт, а сайт-поставщик контента, такой как сервер CDN (Content Distribution Network) или плагин, используемый множеством других ресурсов. В таком случае, заразив один ресурс, злоумышленник заражает сразу все сайты, использующие этот плагин.

Так, в 11 февраля 2018 был заражен плагин Browsealoud производителя texthelp, который облегчает восприятие сайтов для людей с проблемами зрения. Код майнера Coinhive был обфусцирован и внедрен в тело плагина и таким образом сразу же был отображен более чем на 4200 сайтах, включая некоторые правительственные ресурсы США и Соединенного Королевства (uscourts.gov, legislation.qld.gov.au, manchester.gov.uk, gmc-uk.gov), а также сам сайт разработчика. Модифицированный плагин проработал 4 часа, прежде чем был замечен автоматизированными тестами безопасности компании texthelp. Плагин был сразу же отключен на всех использующих его ресурсах до окончания расследования.

Кроме того, злоумышленникам однажды удалось даже протащить код майнера в рекламную сеть Google. Во второй половине января 2018 появились первые упоминания о срабатывании антивирусных программ при посещении YouTube. Через несколько дней аналитики Trend Micro подтвердили наличие майнингового скрипта Coinhive в объявлениях, размещаемых на YouTube рекламной платформой Google DoubleClick. Пик рекламной кампании пришелся на 23-24 января, после чего она была заблокирована.

В апреле 2018 была обнародована критическая уязвимость для одной из самых популярных платформ для разработки сайтов Drupal - Drupalgeddon 2.0. Данная уязвимость позволяла злоумышленнику выполнить произвольный код на атакуемом ресурсе, тем самым позволяя взять под контроль как минимум один сайт, а как максимум - весь сервер. Именно этой уязвимостью для проникновения на уязвимые сервера и воспользовались авторы Kitty - новейшего серого майнера, базирующегося на открытом ПО для браузерного майнинга webminerpool. Проникнув на сервер, Kitty открывает еще одну возможность более полного доступа для своих авторов, а также создает на сервере регулярно выполняемую задачу (cronjob), скачивающую свежую версию себя раз в минуту, что дает хакеру возможность быстрого обновления Kitty и реконфигурацию серверов, которые находятся под его контролем. После окончательного закрепления в недрах системы, Kitty запускает одну из версий майнера xmrig, добывающего Monero. Затем скрипт заражения переходит к добавлению браузерного манера на все страницы сайта, внедряя подгрузку JavaScript-а me0w.js в шаблоны Drupal. Завершает свою работу скрипт проникновенной надписью, которая не может оставить равнодушными любителей котиков: "me0w, don’t delete pls i am a harmless cute little kitty, me0w" (мяу, не удаляйте, пожалуйста, я безвредный милый маленький котенок, мяу).

Кроме описанных Выше крупных атак и единичных взломов всегда остается актуальным внедрение майнеров пользователям публичных сетей. Данный вид взлома получил название CoffeeMiner и был детально описан в статье "CoffeeMiner: Hacking WiFi to inject cryptocurrency miner to HTML requests" независимого специалиста по информационной безопасности, известного как Arnau. Ее принцип базируется на атаках типа "человек посередине" (MitM), а ее цель - любое устройство подключенное к взломанной WiFi сети. 

Злоумышленник внедряет в любую загружаемую по HTTP страницу javascript код, который незаметно добывает криптовалюту для своего автора. Самым действенным лекарством от данного вида серого майнинга, как и от многих других проблем является использование собственного VPN при подключении к любым публичным сетям.


Выход там же, где и вход.

На данный момент Coinhive уже не является монополистом на рынке браузерного майнинга. Появились еще несколько решений на базе него, а также авторских разработок, так и не попавших в публичный доступ. Именно поэтому вопрос защиты от браузерного майнинга будет еще долго оставаться открытым. Как же защититься от серого javascript-майнинга? Для этого есть несколько способов. Самый радикальный из них - отключение Javascript в настройках браузера. 

Этот метод самый эффективный, но, к сожалению, от него страдают и добропорядочные сайты, использующие javascript для полноценного функционирования (а таких на данный момент большинство). Другим надежным решением является использование блокировщиков рекламы, антивирусов и специальных браузерных расширений (например, minerBlock или NoCoin).

 Например, Adblock PRO "из коробки" блокирует майнер от Coinhive. Но и авторы майнера не стоят на месте - они постоянно усовершенствуют маскировку скрипта, усложняя задачу антивирусам, поэтому мы всегда рекомендуем использовать самые новые версии системного и антивирусного ПО.

Читайте также

15652018-07-03

Биткоин-кошелек Trezor успешно отбил фишинговую атаку

Команда разработчиков предупредила пользователей о  фишинговой атаке и попросила не терять бдительность., настоятельно рекомендуя следовать правилам безопасности.

Безопасность
12172018-01-06

Сохранность средств: вирусы в поисках wallet.dat

Одни из самых технически совершенных вирусов охотятся за криптосбережениями пользователей.

Безопасность

Последние статьи из раздела Безопасность

Свежее видео на канале

Выбор редакции

138892017-12-10

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
105982018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
70502018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
56632018-06-24

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
33452018-09-12

Три быка, которые могут спасти крипторынок

Несмотря на упадок криптовалютного рынка, долгожданное участие институциональных инвесторов в сделках с цифровыми активами уже не за горами. Такие известные фирмы, как Coinbase, Nasdaq и Bakkt уже вошли в мейнстрим, осталось только подождать, пока это сделает весь рынок цифровых активов.

Мнение
31782018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение