
Firma Trend Micro, dostawca oprogramowania, sprzętu i usług zabezpieczających, odkryła kampanie złośliwego oprogramowania na stronach o dużym natężeniu ruchu, z których korzysta Coinhive, kod JavaScript, który pozwala administratorom witryn na wydobywanie Monero przez procesory odwiedzających stronę gości.
Atakujący wzięli na cel usługę DoubleClick firmy Google, która zapewnia usługi udostępniania reklam internetowych w celu dystrybucji, a firma Trend Micro zgłosiła to na swoim blogu dotyczącym bezpieczeństwa. Ponadto, w przypadku tych reklam wykorzystano również oddzielny moduł wyszukiwania sieci, który łączy się z prywatną kopalnią.
Firma Trend Micro zgłosiła Google swoje ustalenia dotyczące takich kampanii, które dotknęły Japonię, Francję, Tajwan, Włochy i Hiszpanię.
Firma Trend Micro zauważyła wzrost liczby odwiedzin do pięciu złośliwych domen 18 stycznia, a 24 stycznia wykrył blisko 285% wzrost liczby górników Coinhive. Ruch pochodził z reklam DoubleClick.
Wbudowane skrypty Web Miner
Zostały osadzone dwa różne skrypty internetowe, a także skrypt wyświetlający reklamy z DoubleClick. Zaatakowana strona wyświetlała legalną reklamę, podczas gdy dwaj górnicy prowadzą swoje ukryte zadania.
Uważa się, że korzystanie z reklam na legalnych stronach internetowych jest sposobem na atakowanie większej liczby użytkowników.
Ruch związany z tymi górnikami spadł po 24 stycznia.
Reklama zawiera kod JavaScript, który tworzy losową liczbę od jednej do 100 zmiennych. Kiedy tworzy zmienną powyżej 10, ostrzega coinhive.min o kopaniu 80% mocy procesora. Dzieje się to w 90% przypadków. Dla pozostałych 10% uruchamia się prywatny program dla webmasterów. Dwóch górników zostało skonfigurowanych z przepustnicą 0.2, co oznacza, że zużywają 80% zasobów procesora.
Po odfiltrowaniu prywatnego webmastera znanego jako mqoj_1, nadal można zidentyfikować kod JavaScript oparty na Coinhive. Zmodyfikowany minerał wykorzystuje następnie inną pulę wydobywczą, wss [:] // ws [.] L33tsite [.] Info [:] 8443, która służy do uniknięcia prowizji Coinhive 30%.
Nad atakami można zapanować
Górnikom kopalni Coinhive można uniemożliwić korzystanie z zasobów procesora poprzez blokowanie uruchamiania aplikacji JavaScript w przeglądarkach. Wpływ złośliwego oprogramowania kryptowalutowego i innych zagrożeń wykorzystujących luki w systemie można złagodzić, regularnie aktualizując oprogramowanie.
Pakiety Trend Micro Smart Protection i Worry-Free Business Security chronią firmy i użytkowników przed zagrożeniami, blokując złośliwe pliki i powiązane adresy URL.
Pakiety Trend Micro Protection zapewniają takie funkcje, jak monitorowanie zachowania, usługi Web Reputation, uczenie maszynowe o wysokiej wierności i kontrola aplikacji, aby zmniejszyć wpływ takich kopalń kryptowaluty i innych zagrożeń.