Не думал, не гадал он
15 марта 2019
Авторы вредоносных программ нередко оправдывают свое «творчество» вполне благовидными целями – как это сделали, например, создатели проекта Coinhive. Легальный заработок для владельцев сайтов – прекрасно. Незаконное использование? Нет, не слышали.
Но сначала немного истории.
Начиная с осени 2017 года пользователи все чаще страдают от скрытых майнеров, причем это вовсе не означает, что устройство жертвы было заражено вредоносом, добывающим криптовалюту. Теперь достаточно неудачно зайти на какой-либо сайт, в код которого был встроен так называемый «браузерный майнер» – специальный JavaScript, который использует ресурсы устройства пользователя, пока тот находится на сайте.
Стоит сказать, что злоумышленники и сами операторы сайтов не пишут подобные майнинговые скрипты самостоятельно, а пользуются услугами многочисленных сервисов, предлагающих такую услугу. Одним из первых в этой области был сервис Coinhive, и, по данным аналитиков 360 Netlab, он по-прежнему сохраняет лидерство в этой сфере.
Статистика прошлогодняя, но действительно Coinhive стал самым известным сервисом такого рода (мы уже касались темы защиты от него в выпусках «Слышал звон» и «Майнеры: и все же без антивируса никак!».
Весь прошлый год был годом майнеров, но (и мы тоже писали об этом) подавляющее число попытавшихся заработать на майнинге злоумышленников остались ни с чем.
… оказалось, что недавнее массовое внедрение майнинговых скриптов на правительственные сайты США и Великобритании принесло взломщикам лишь 24 доллара.
Прямо скажем, не густо. Вполне естественно, что это породило вполне однозначное отношение к авторам вредоносного скрипта.
Также создатели Coinhive признались, что в настоящее время репутация их проекта оставляет желать лучшего, ведь название Coinhive почти стало синонимом определенной группы киберпреступлений.
И на это есть причины:
Coinhive принимает жалобы на злоупотребление майнером, как правило, не отвечая на обращения не от владельцев взломанного веб-сайта (то есть в большинстве случаев сервис игнорирует жалобы, поданные третьими лицами).
А применяют Coinhive широко:
Сегодня заметил подозрительное увеличение нагрузки на процессор во время просмотра роликов на ютубе. После некоторого времени поисков – удалось выяснить, что после прохода некоторых жёлтых отсечек рекламы начинает исполняться в 8–9 потоков js код, а нагрузка на процессор подлетает до 100%, пока не закрыть вкладку с ютубом.
Начало кода имеет следующий текст:
self.CoinHive = self.CoinHive || {};
Интересно, что если создатели Coinhive решали, что код используется кем-то незаконно, то они не удаляли его с зараженного сайта.
Когда они «отменяют» ключ, он просто завершает работу пользователя на этой платформе, но не останавливает запуск вредоносного JavaScript. Это значит, что конкретный пользователь Coinhive больше не получит денег. Код продолжает работать, и всё получает Coinhive. Пока код находится на взломанном сайте, он приносит им деньги.
Рекомендуем ознакомиться с материалом о расследовании истории создания Coinhive:
...
Как уже упоминалось, многие из доменных имен, привязанных к администраторам форума pr0gramm, были первоначально зарегистрированы на некого доктора Маттиаса Мёнха.
Когда автор начал расследование в январе 2018 года, он подумал, что Мёнх — это псевдоним. Но правда в том, что Маттиас Мёнх — это имя реального человека. Очень страшного человека.
Согласно статье 1989 года в издании Bild (выдержки опубликованы на Die Welt в 2014-м), Мёнх рос в богатой немецкой семье предпринимателей, а 19 лет был осуждён за то, что нанял турка, чтобы убить своих родителей. Die Welt пишет, что человек, нанятый Мёнхом, использовал мачете, чтобы зарезать родителей и их пуделя. Позднее Мёнх объяснил свои действия тем, что он был расстроен из-за того, что родители купили ему на восемнадцатилетние подержанную машину, а не Ferrari, которую он всегда хотел...
Сейчас проект Coinhive прекратил свою работу:
Владельцы сервиса сообщили, что жить ему осталось ровно до 8 марта 2019 года. Соответствующее сообщение было опубликовано в блоге Coinhive, в нем говорится следующее: «Мы приняли решение. Сервис Coinhive прекратит свою работу 8 марта 2019 года».
Сделано это, конечно, не из заботы о пользователях:
Мы получили массу удовольствия, но если говорить до конца откровенно, сервис больше финансово невыгоден.
Кем же надо быть, чтобы получать удовольствие от создания вредоносного сервиса?!
Антивирусная правДА! рекомендует
Статистика показывает, что скриптов для браузера каждый день создается немало.
Так что одним Coinhive список желающих заработать на пользователях не ограничивается. Поэтому напоминаем, что защитить систему от несанкционированного использования ее ресурсов для скрытной добычи криптовалюты поможет наша брошюра «Настрой-ка Dr.Web от майнеров».
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Rider
21:37:16 2019-03-18
Stan
10:40:07 2019-03-18
Любитель пляжного футбола
14:12:30 2019-03-16
P.S. Статья такая, словно это несколько переработанный человеком перевод гугл-переводчика. :)
achemolganskiy
08:58:39 2019-03-16
tigra
06:41:15 2019-03-16
Lia00
01:54:52 2019-03-16
Любитель пляжного футбола
23:25:45 2019-03-15
В большинстве случаев тут даже нет альтернативы. Отключение явы создаёт неудобства, как малые, так и великие. Например, чтобы авторизироваться на сайте, нужно включить яву, иначе какая-то ерунда выходит. Некоторые сайты с отключённой явой и вовсе работать отказываются, тот же Dr.Web к примеру. Всё же, если у тебя в исключениях будут, допустим, 30, 40, даже 50 сайтов, это всё же капля в море по сравнению с безбрежным океаном интернета. Для обычного поиска в интернете JS не нужен.
Любитель пляжного футбола
23:02:56 2019-03-15
Пардон, но ничего не понял. Не в теме я. Хотя это, может, и к лучшему. :)
Andromeda
23:00:42 2019-03-15
Альфа
22:44:05 2019-03-15
Шалтай Александр Болтай
22:09:27 2019-03-15
razgen
21:42:43 2019-03-15
Геральт
21:39:52 2019-03-15
Татьяна
21:30:32 2019-03-15
orw_mikle
20:56:39 2019-03-15
zitkss
20:53:57 2019-03-15
anatol
20:42:47 2019-03-15
robot
20:37:49 2019-03-15
B0RIS
19:33:08 2019-03-15
Toma
18:25:06 2019-03-15
DrKV
15:36:57 2019-03-15
Masha
15:23:24 2019-03-15
I46
14:39:39 2019-03-15
Денисенко Павел Андреевич
14:34:54 2019-03-15
Dmur
14:12:11 2019-03-15
stavkafon
13:51:19 2019-03-15
Lenba
12:39:35 2019-03-15
I23
12:23:01 2019-03-15
EvgenyZ
12:14:51 2019-03-15
Zserg
12:14:29 2019-03-15
Неуёмный Обыватель
12:14:20 2019-03-15
vinnetou
11:52:00 2019-03-15
Oleg
11:26:42 2019-03-15
Пaвeл
10:53:10 2019-03-15
dyadya_Sasha
10:44:25 2019-03-15
sgolden
10:25:51 2019-03-15
blade79
10:23:56 2019-03-15
eaglebuk
10:21:17 2019-03-15
cpp
10:20:00 2019-03-15
Родриго
10:17:45 2019-03-15
Alexander
10:06:46 2019-03-15
Так же и в случае с такими вот лукавыми майнерами, - зашёл на желанный сайт, - потрать ресурсы своего компьютера на удалённый майнинг чужого дяди. И малый навар злоумышленников как-то не успокаивает и не вызывает чувства справедливости на фоне нагрузки на процессор (его износ, нагрев) и заторможенности работы системы своего компьютера.
Хорошо, что Dr.Web Security Space распознаёт наличие на сайтах майнинговых скриптов и препятствует реализации ими своего, но нам ненужного, интереса. Спасибо.
sanek-xf
09:43:16 2019-03-15
Alex_1774
09:40:34 2019-03-15
Natalya_2017
09:37:14 2019-03-15
Vlad X
09:27:37 2019-03-15
Майнинг,наверно становится не выгодным,но неприятности
пока приносит.
vkor
09:15:10 2019-03-15
tigra
07:42:22 2019-03-15
ka_s
07:08:40 2019-03-15
L1t1um
06:18:55 2019-03-15
Любитель пляжного футбола
06:14:19 2019-03-15
Защититься от таких браузерных майнеров поможет отключение Java Script в браузере, нужно лишь задать исключения для сайтов, которыми обычно пользуешься, это несложно, а на остальных сайтах JS будет отключён. Вот и фигвам будет майнерам! :)