m
Recent Posts
16/08/2018
ГлавнаяПреступностьЗлоумышленники придумали новый способ тайного майнинга криптовалют с помощью коротких ссылок

Злоумышленники придумали новый способ тайного майнинга криптовалют с помощью коротких ссылок

Схема скрытого майнинга при переходе по короткой ссылке

Майнинг криптовалют в браузере неприятен тем, что создает повышенную нагрузку на устройство. Компьютеры пользователей начинают «тормозить» и перегреваться. Проблема в том, что многие сайты делают это тайно и не спрашивают разрешения у посетителей. Поэтому в прошлом году Яндекс.Браузер для компьютеров стал первым браузером, который защищает от этой угрозы. Но злоумышленники не стоят на месте.

Специалисты компаний Malwarebytes и Sucuri обнаружили новую майнерскую кампанию. Теперь преступники используют старый трюк на новый лад: при помощи коротких ссылок маскируют не просто вредоносные сайты, но скрытые майнеры.

Первыми проблему заметили аналитики Sucuri, еще в конце мая 2018 года посвятив ей отдельную запись в блоге компании. Дело в том, что популярный сервис для браузерного майнинга Coinhive предлагает своим клиентам услугу сокращения URL (cnhv.co). Принцип работы данного сервиса очень прост. Вот как описывают его сами операторы Coinhive:

«Если у вас есть ссылка, по которой вы хотели бы переадресовать пользователя, с помощью cnhv.co вы можете создать ее сокращенную версию. Пользователю придется высчитать определенное количество хешей (которое задаете вы), а затем он будет автоматически направлен на целевой URL».   

Именно этот сервис теперь и эксплуатируют преступники. Исследователи Malwarebytes предупреждают, что множество легитимных сайтов, работающих под управлением самых разных CMS, были скомпрометированы. Обфусцированный код, внедренный на такие сайты, использует короткие ссылки Coinhive для скрытого drive-by майнинга.

майнинг через короткие ссылки

Таким образом преступники избегают прямого внедрения майнингового JavaScript на взломанные сайты, вместо этого они обфусцируют код, который занимается динамическим внедрением «невидимых» iFrame (1х1 пиксель) на страницы, загружающиеся в браузерах пользователей. Короткие ссылки cnhv.co заставляют устройства пострадавших добывать криптовалюту на протяжении определенного периода времени, после чего происходит переадресация по оригинальному адресу, который сократили столь хитрым способом.

«Конечно, по умолчанию Coinhive устанавливает “задержку” лишь на 1024 хеша, но, например, одна из изученных нами ссылок требовала 3 712 000 хешей перед загрузкой целевого URL», — рассказывают специалисты Malwarebytes.

Хуже того, после того как нужное число хешей было достигнуто, пользователь переходит по оригинальной ссылке, которую сократили с помощью cnhv.co. Но этот оригинальный адрес вновь переадресует жертву на ту же страницу, то есть процесс майнинга начинается заново. Пользователь при этом вряд ли заметит что-то странное, ведь с его точки зрения страница попросту обновится.

По данным экспертов, помимо майнеров таким способом распространяют и ссылки на вредоносные или взломанные сайты, где посетителей обманом вынуждают загрузить и установить майнинговую малварь для десктопных устройств. Чаще всего такие вредоносы маскируются под различное легитимное ПО и файлы. К примеру, преступники распространяют майнер XMRig под видом файлов, которые пользователи искали в онлайне (дело в том, что стараниями злоумышленников скомпрометированные сайты попадают в поисковую выдачу Google и Bing).


Источник

Обсудите эту новость в лучших чатах по криптовалюте CryptoOn и bt[c]hat — чат

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Спасибо!

Теперь редакторы в курсе.