Начиная с сентября 2017 года весь мир пристально следит за стремительной эволюцией явления, получившего название криптоджекинг (cryptojacking). Если не использовать специальную терминологию и говорить проще, речь идет о майнинге через браузеры (а также через мобильные приложения, но об этом чуть ниже). Суть этого явления предельно проста: в код сайтов внедряют специальные скрипты, которые конвертируют мощности CPU посетителей этих ресурсов в криптовалюту.
На данный момент основная проблема заключается в том, что владельцы сайтов далеко не всегда встраивают майнинговые скрипты в код своих ресурсов добровольно, сайты все чаще подвергаются взлому с целью интеграции майнеров. К тому же, даже если майнер не был установлен насильно, владельцы ресурсов крайне редко берут на себя труд предупредить о происходящем посетителей, то есть пользователям не предоставляют выбора и возможности отключения майнеров.
Именно по этой причине такие сайты считает вредоносными и блокирует компания CloudFlare, а большинство антивирусов и других защитных решений уже внесли все наиболее популярные майнинговые сервисы в черные списки. Также стоит упомянуть, что вчера, 8 ноября 2017 года, официальную позицию по вопросам браузерного майнинга озвучили администраторы официального репозитория плагинов WordPress.org. Они также высказались против майнеров и заявили, что плагин Animated weather widget by wetherfor.us уже был заблокирован именно из-за наличия майнера в коде.
Тем не менее, криптоджекинг продолжает развиваться и прогрессировать. Так, на этой неделе аналитический отчет (PDF) о происходящем представила компания Malwarebytes, которая следит за развитием ситуации с самого начала. В документе сказано, что за последний месяц защитные продукты компании блокировали более 248 млн запросов к доменам, на которых размещаются различные майнинговые скрипты. В среднем это 8 млн запросов в сутки.
Специалисты отмечают, что реальное количество пользователей, столкнувшихся с браузерным майнингом, куда больше. Во-первых, далеко не все используют защитные решения Malwarebytes. Во-вторых, Malwarebytes не блокирует работу Coinhive и других аналогичных сервисов по умолчанию, вместо этого пользователю показывают диалоговое окно, при помощи которого он сам решает, как нужно поступить. В-третьих, немалую популярность приобрели специальные прокси-сервисы, которые занимаются туннелированием запросов Coinhive через «безобидные» домены, что позволяет избегать внимания со стороны антивирусов и блокировщиков.
Не менее интересные статистические данные опубликовал на этой неделе ИБ-исследователь Виллем де Грот (Willem de Groot). Голландский специалист пишет, что обнаружил майнинговые скрипты на сайтах 2496 интернет-магазинов. При этом совсем не похоже, что владельцы торговых площадок сами решили установить CoinHive и заработать на криптовалютах. Дело в том, что 80% этих ресурсов также оказались заражены скимминговой малварью, которая похищает информацию о банковских картах покупателей прямо из платежных форм.
Еще об одной форме криптоджекинга предупреждают специалисты компании Ixia. Так, ранее мы уже писали о том, что эксперты начали обнаруживать майнеры в составе мобильных приложений. Теперь аналитики Ixia сообщили, что таких приложений в Google Play Store становится больше. Стоит отметить, что рассматриваемые специалистами программы были установлены 1-10 млн раз.
Разработчики таких приложений уже начали использовать весьма коварные уловки из области социальной инженерии. К примеру, они маскируют майнинговую активность, облекая ее в игровую форму. Так, пользователям предлагают почаще запускать приложение и оставлять его работать в фоновом режиме, якобы для генерации внутриигровой валюты. Но упомянуть о том, что все это время устройство также будет майнить настоящую криптовалюту для авторов приложения, разработчики изящно «забывают».
Напоследок стоит сказать, что у сервиса Coinhive, чьи майнинговые скрипты по-прежнему являются наиболее популярными, появляется все больше конкурентов. Так, ИБ-эксперты обнаружили сервисы Coinerra и Papoto, причем последний уже успел прославиться агрессивной рекламной кампанией. Операторы Papoto массово рассылают письма владельцам сайтов, предлагая «новый способ монетизации» и «новый браузерный FUD-майнер».
Heads up — the creators of ‘full undetectable’ cryptominer in a browser emailed me. You might want to filter their domain. pic.twitter.com/CETXYTi5MR
— Kevin Beaumont ???? (@GossiTheDog) November 7, 2017
Читайте также
Последние новости