Новий виток сірого майнінгу - браузерний майнінг

Так, у вересні 2017 року один із найвідоміших торрент-трекерів “The Pirate Bay”, перебуваючи у пошуку альтернатив заробітку на рекламі, тестували скрипт майнінгу протягом доби. Наприкінці цього місяця практично всі сайти, що належать компанії “Український Медіа Холдинг” (Korrespondent.net, Football.ua, iSport.ua, Tochka.net) випробували прихований майнінг, але, після скарг користувачів у соціальних мережах, скрипт майнінгу був видалений з усіх ресурсів холдингу. Навіть інтернет-провайдер, що забезпечує доступом до Інтернету, мережа кав'ярень Starbucks у Буенос Айресі не гидував можливістю заробити, видобуючи Monero на пристроях своїх відвідувачів, поки вони виконували вхід до мережі.

На жаль, досить швидко, скрипт від Coinhive перетворився на найпоширеніше небажане ПЗ (malware) і був після зламів помічений навіть на таких високовідвідуваних ресурсах як The Los Angeles Times, Blackberry, Politifact та Showtime.

Coinhive отримує 30% від усієї видобутої за допомогою їхнього скрипту криптовалюти. Найчастіше вони досить оперативно реагують на повідомлення (тільки безпосередньо від власників зламаних ресурсів) про неправомірне використання їх сервісу зловмисниками і блокують обліковий запис хакера, але при цьому робота скрипту на зламаному сайті не зупиняється і Coinhive починає забирати собі 100% намайн. Їхні технічні фахівці все ще займаються усуненням цього недоліку в роботі системи, але поки що "не можуть", за їх словами, знайти ефективного рішення.

Приховані можливості

З моменту появи javascript-майнерів у хакерів з'явився ще один стимул злому веб-серверів - адже можна не просто запустити майнер на самому сервері, а на всі сайти, розміщені на ньому Browsealoud виробника texthelp, який полегшує сприйняття. Код майнера Coinhive був обфусцований та впроваджений у тіло плагіна і таким чином відразу ж був відображений більш ніж на 4200 сайтах, включаючи деякі урядові ресурси США і Сполученого Королівства (uscourts.gov, legislation.qld.gov.au, manchester.gov.uk, gmc-uk.gov), а також сам сайт розробника. Модифікований плагін пропрацював 4 години, перш ніж був помічений автоматизованими тестами. ресурси, що використовують його, до закінчення розслідування.

Крім того, зловмисникам одного разу вдалося навіть протягнути код майнера до рекламної мережі Google. У другій половині січня 2018 року з'явилися перші згадки про спрацювання антивірусних програм при відвідуванні YouTube. Через кілька днів аналітики Trend Micro Drupalgeddon 2. Дана вразливість дозволяла зловмиснику виконати довільний код на ресурсі, що атакується, тим самим дозволяючи взяти під контроль як мінімум один сайт, а як максимум - весь сервер. Саме цією вразливістю для проникнення на вразливі сервери і скористалися автори Kitty - найновішого сірого майнера, що базується на відкритому програмному забезпеченні для браузерного майнінгу. Проникнувши на сервер, Kitty відкриває ще одну можливість більш повного доступу для своїх авторів, а також створює на сервері завдання, що регулярно виконується (cronjob), що завантажує свіжу версію себе раз на хвилину, що дає хакеру можливість швидкого оновлення Kitty і реконфігурацію серверів, які знаходяться під його контролем. Після остаточного закріплення в надрах системи, Kitty запускає одну з версій майнера xmrig, який видобуває Monero. Потім скрипт зараження переходить до додавання браузерного манера на всі сторінки сайту, впроваджуючи підвантаження JavaScript-а me0w.js до шаблонів Drupal.. Завершує свою роботу скрипт проникливим написом, який не може залишити байдужими любителів котиків: "Мяу, не видаляйте, будь ласка, я нешкідливий милий маленьке кошеня"

Крім описаних вище великих атак і поодиноких зламів завжди залишається актуальним впровадження майнерів користувачам публічних мереж. Даний вид злому отримав назву CoffeeMiner і був детально описаний у статті "CoffeeMiner: requests" незалежного фахівця з інформаційної безпеки, відомого як Arnau. Її принцип базується на атаках типу "людина посередині" (MitM), а її мета - будь-який пристрій, підключений до зламаної WiFi мережі. 

Зловмисник впроваджує в будь-яку сторінку, що завантажується по HTTP javascript код, який непомітно видобуває криптовалюту для свого автора. Найдієвішими ліками від даного виду сірого майнінгу, як і від багатьох інших проблем є використання власного VPN при підключенні до будь-яких публічних мереж.

Вихід там, де і вхід.

Наразі Coinhive вже не є монополістом на ринку браузерного майнінгу. З'явилися ще кілька рішень на базі нього, а також авторських розробок, які не потрапили в публічний доступ. Саме тому питання захисту від браузерного майнінгу ще довго залишатиметься відкритим. Як же захиститися від сірого javascript-майнінгу? І тому є кілька способів. Найрадикальніший з них - відключення Javascript у налаштуваннях браузера. 

Цей метод найефективніший, але, на жаль, від нього страждають і добропорядні сайти, які використовують JavaScript для повноцінного функціонування (а таких на даний момент більшість). Іншим надійним рішенням є використання блокувальників реклами, антивірусів і спеціальних браузерних розширень (наприклад, minerBlock або NoCoin). Наприклад, Adblock PRO "з коробки" блокує майнер. Але й автори майнера не стоять на місці - вони постійно удосконалюють маскування скрипту, ускладнюючи завдання антивірусам, тому ми завжди рекомендуємо використовувати нові версії системного та антивірусного ПЗ.