Coinhive становится популярным инструментом среди разработчиков вредоносного ПО

В техническом плане, Coinhive представляет собой JavaScript библиотеку, которую владельцы сайтов могут установить на свои сайты. Когда пользователи посещают сайт, JavaScript-код Coinhive исполняется и запускает майнинг Monero в пользу владельца ресурса, но используя вычислительные мощности компьютера пользователя. Согласитесь, действительно оригинальная идея!

Возросла нагрузка на компьютере? Майнеры на сайтах теперь норма

Coinhive был запущен 14 сентября и позиционируется как альтернатива классической рекламе. Сервис Coinhive утверждает, что веб-мастера могут удалять рекламу со своих сайтов и загружать библиотеку Coinhive для добычи Monero, используя небольшую часть ресурсов процессора пользователя, когда пользователь перемещается по сайту. Владельцы сайтов могут зарабатывать деньги и поддерживать свой бизнес, при этом больше не показывая пользователям раздражающую рекламу.

Спустя пару дней после запуска, сервис был протестирован торрент-порталом The Pirate Bay. Однако, после негативной реакции пользователей, код майнера был удален.

Киберпреступники взяли Coinhive на вооружение

К сожалению, несмотря на изначально интересную концепцию майнинга Monero, Coinhive очень быстро стал популярным инструментом среди злоумышленников.

Всего за несколько дней, прошедших после запуска сервиса, Coinhive успел распространится среди различных типов вредоносных программ.

Сначала код Coinhive был встроен в популярное расширение Chrome под названием SafeBrowse. Майнинг Monero все время выполнялся в фоновом режиме, когда браузер с установленным расширением работал.

Затем Coinhive был встроен в тайпсквоттинг-домены. Кто-то зарегистрировал доменное имя twitter.com.com и загрузил библиотеку Coinhive JS на странице. Пользователи, которые ошибочно указывали URL-адрес Twitter, попадали на страницу и добывали Monerо в пользу владельца домена.

Добыча валюты происходит несколько секунд, пока пользователь не осознает, что он открыл фальшивую страницу. Однако, видимо этого времени достаточно для того, чтобы владелец поддельного сайта получил прибыль. Со временем и при наличии большого количество подобных доменов, сервис принесет неплохие деньги.

JavaScript-майнер настраивается на добычу криптовалюты для учетной записи хакера, но использует ресурсы процессора ничего не подозревающих пользователей, которые обращаются к взломанным сайтам. Исследователи также обнаружили взломанные сайты WordPress и Magento, модифицированные таким образом.

Кроме того, эксперты по безопасности обнаружили, что Coinhive массово внедряется во вредоносные рекламные модули. Вредоносные объявления перенаправляют пользователей на классические мошеннические страницы с поддельной технической поддержкой и загружают код Coinhive в браузере для майнинга Monero. В это время жертвы пытаются разобраться, является ли сайт действительным или нет.

23 сентября был обнаружен еще один случай использования Coinhive. Код майнера был развернут вместе с вредоносными программами на сайте, который рекламировал фальшивое обновление Java.

Теперь становится очевидным, что киберпреступники увидели в Coinhive новый способ заработка. Ожидается, что код майнера будет внедряться в рекламное ПО и взломщики браузеров, которые вставляют объявления в результаты поиска.

Рекламное ПО делает видимые изменения в браузере пользователя. Ничто не мешает разработчикам подобных угроз загружать библиотеку Coinhive в фоновом режиме и добывать Monero, прежде чем пользователь заметит навязчивые объявления, изменения на главной странице браузера и рост нагрузки процессора.

В то время, как команда Coinhive ясно дала понять, что ответственность за использование библиотеки полностью зависит от лица, развертывающего майнер, разработчики вредоносного ПО вряд ли соблюдают какие-либо правила.

Реакция сообщества

В настоящее время некоторые эксперты сообщают о технике взлома браузеров для добычи криптовалют под названием “cryptojacking”. Некоторые исследователи уже предсказывают катастрофу Cryptojacking Coinhive. Например, по крайней мере два блокировщика рекламы добавили поддержку для блокировки JS-библиотеки Coinhive - это AdBlock Plus и Adguard.

Кроме того, были созданы специальные расширения для Chrome, которые сканируют браузер и завершают любые подозрительные процессы, которые могут быть связаны с Coinhive, в частности AntiMiner, No Coin и minerBlock.

Хотя 2017 год запомнится вспышками WannaCry и NotPetya, а также инцидентами CCleaner и Equifax, майнеры криптовалюты в этом году стали одними из самых активных и распространенных угроз.

Две недели назад Касперский сообщил о том, что за первые восемь месяцев года в компании было обнаружено более 1,65 миллиона компьютеров, зараженных вредоносными программами, использующими модули добычи криптовалюты, а IBM также сообщила о всплеске криптоугроз, используемых в корпоративных сетях.

По словам команды Coinhive, запуск библиотеки превзошел все ожидания. Даже если инструмент разрабатывался с благими намерениями, он уже на старте получил не самую хорошую репутацию из-за деятельности киберпреступников.