Компьютеры белорусов используются для тайного майнинга
В последние месяцы специалисты антивирусной компании ESET обнаруживали JavaScript-файлы, очевидно предназначенные для майнинга криптовалют напрямую в браузере, об этом сообщается в блоге экспертов на habrahabr.ru.
Киберпреступники давно освоили майнинг, однако обычно они устанавливают на машины жертв вредоносное ПО либо потенциально нежелательные приложения (PUA).
Однако в данном случае майнинг производится в браузере, когда пользователь посещает определенные сайты. Нет необходимости искать уязвимости и/или заражать компьютер — достаточно браузера с включенным JavaScript (по умолчанию в большинстве браузеров).
По данным телеметрии ESET, один из векторов распространения угрозы — вредоносная реклама (malvertizing). Тип задач с высокой загрузкой ЦП блокирует большинство рекламных сетей, так как это снижает качество взаимодействия с пользователем.
Может показаться, что идея майнинга в браузере противоречит здравому смыслу, поскольку добыча биткоинов требует высокопроизводительных CPU. Но авторы веб-майнера выбрали криптовалюты, не требующие наличия специального оборудования — проще обеспечить достаточное число компьютеров, «заражая» сайты, а не сами машины.
Подобные кампании могут производиться в любой стране, но конкретно эта угроза преобладает в России, Украине и Беларуси.
Причиной таргетирования, вероятно, стал выбор языка сайтов, в которые были внедрены скрипты. Большинство из них находится в зоне .ru, но есть и один из зоны .by.
Основной способ распространения майнинговых скриптов — вредоносная реклама. В его основе покупка трафика у рекламной сети и распространение вредоносного скрипта вместо обычной рекламы.
Основные сайты, предоставлявшие трафик для майнинговых скриптов в течение июля 2017 года, показаны на рисунке ниже:
В компании обратили внимание, что здесь преобладают сайты с потоковым видео или браузерными играми. В этом есть смысл, так как пользователи склонны проводить время на одной и той же странице. Кроме того, у таких страниц ожидаемо высокая загрузка ЦП, что позволяет замаскировать дополнительную нагрузку от майнингового скрипта. Так ему удается работать дольше и использовать большую вычислительную мощность.
Обратите внимание на загрузку процессора при запуске одного из скомпрометированных сайтов:
Кстати, идея майнинга криптовалют в браузере не является чем-то новым, сообщают эксперты. В 2013 году студенты Массачусетского технологического института (MIT) основали компанию Tidbit, которая предлагала веб-сервис по майнингу биткойнов.
Вместо показа рекламы администраторы сайтов могли зарабатывать на майнинге, добавив скрипт Tidbit к своим сайтам. Вскоре основатели получили повестку в суд, поскольку использовали вычислительные мощности пользователей без их согласия. В итоге стороны пришли к мировому соглашению, но проект Tidbit пришлось свернуть.
Читайте также: