تعلمت مواقع التعدين إخفاء المتصفح على أجهزة كمبيوتر المستخدمين

يكتسب برنامج المنتسبين لتعدين العملات المشفرة في Coinhive في متصفحات المستخدمين (وغيرهم من عمال المناجم JS) شعبية متزايدة بين المجرمين الإلكترونيين. يزور المستخدمون غير المشتبه فيهم الموقع - ولا ينتبهون إلى أن لديهم زيادة حادة في حمل وحدة المعالجة المركزية (Coinhive miners Monero باستخدام خوارزمية CryptoNight ، التي تخلق كتلة كبيرة في الذاكرة وتمنع التوازي الداخلي ، لذلك يلغي التعدين استخدام ASIC وهو الأكثر فعالية في وحدة المعالجة المركزية).

يواصل المهاجمون اختراق المواقع واستضافة البرامج النصية للتعدين. وينطبق الشيء نفسه على ملحقات المستعرض. في الآونة الأخيرة ، قاموا بتطبيق CryptoLoot miner حتى في البرنامج النصي CookieScript.info ، مما يساعد المواقع الأخرى على عرض تحذير حول استخدام ملفات تعريف الارتباط بناءً على طلب الاتحاد الأوروبي - هذه هي الخدمة المجانية الأكثر شعبية من هذا النوع ، يتم استخدامها من قبل الآلاف من المواقع الأخرى ، وإلا فإنها تواجه غرامة من الاتحاد الأوروبي تصل إلى 500000 دولار.

يمكن للمرء أن ينظر إلى أنشطة المهاجمين بابتسامة: حسنا ، كم سيولدون هناك في دقيقتين ينفقها المستخدم على الموقع؟ ظلت الطبيعة سريعة الزوال للتعدين في المتصفح العيب الرئيسي لهذا النوع من البرامج الضارة. لكن خبراء في Malwarebytes Labs يلاحظون أن أصحاب "شبكات التعدين" ، للأسف ، تمكنوا من القضاء على هذا العيب. يستمر التعدين الآن على أجهزة كمبيوتر المستخدمين حتى بعد مغادرتهم الموقع المصاب. وحتى بعد إغلاق المتصفح.

تم إجراء الاختبارات في متصفح جوجل كروم. تظهر الرسوم المتحركة أنه عند إغلاق المتصفح بموقع عادي ، ينخفض ​​استخدام وحدة المعالجة المركزية على الفور إلى الصفر تقريبًا. ولكن عند إغلاق الموقع باستخدام عامل التعدين المضمن ، لسبب ما ، يظل استخدام وحدة المعالجة المركزية عند نفس المستوى بأكثر من 60٪ (للتخفي ، لا يقوم عامل التعدين بتحميل المعالج بشكل صحيح إلى أقصى حد).

الحيلة هي أنه على الرغم من الإغلاق المرئي لنافذة المتصفح ، في الواقع ، لا يتم إغلاق Google Chrome ، ولكنه يبقى في الذاكرة. تفتح البرامج الضارة نافذة منبثقة غير مرئية . من المسلم به أن هذه تقنية عالية الكفاءة.

يتم تحديد إحداثيات النافذة المنبثقة بحيث تختبئ تمامًا خلف الساعة على شريط المهام.


قد تختلف إحداثيات النافذة قليلاً ، اعتمادًا على دقة الشاشة على كمبيوتر الضحية ، ولكنها توضع خلف الساعة. صحيح ، هناك تحذير واحد. إذا كان موضوع التشغيل يحتوي على سمة تصميم ذات شفافية ، فستظل النافذة مرئية قليلاً خلف اللوحة (انظر لقطة الشاشة في بداية المقالة).

تعثر خبراء الأمن عن طريق الخطأ على هذه الخدعة عند زيارة أحد المواقع الإباحية. تعمل شبكة الإعلانات العدوانية Ad Maven هناك ، والتي تتجاوز حاصرات الإعلانات ، وتحمل بدورها الموارد من سحابة الأمازون - هذه إحدى الطرق لتجاوز مانع الإعلانات. على الرغم من أن تحميل .wasm الخبيث نفسه لا يتم تحميله مباشرة من AWS ، ولكن من استضافة طرف ثالث.

في كود البرنامج النصي ، يمكنك ملاحظة بعض الوظائف المذكورة في وثائق Minhive miner . على سبيل المثال ، هناك فحص للتحقق من دعم WebAssembly - باستخدام هذه التقنية ، يستخدم المتصفح بشكل كامل موارد الأجهزة المثبتة على الكمبيوتر. إذا لم يكن WebAssembly غير مدعوم ، فإن عامل المنجم يتحول إلى إصدار جافا سكريبت أبطأ (asm.js).

كما ذكر أعلاه ، لا يقوم عامل المنجم بتوجيه تردد المعالج بنسبة 100 ٪ ، ولكنه يقوم بتحميله بشكل معتدل للعمل بهدوء لفترة طويلة.

نظرًا لهذا السلوك الخبيث الماكر ، من الصعب الاعتماد كليًا على حاصرات الإعلانات. الآن ، بعد إغلاق المتصفح ، لا تزال بحاجة إلى التحقق من اختفاء المتصفح من شريط المهام حيث يتم تعليق العمليات الجارية. ولكن إذا تم توصيل الرمز باللوحة ، فلا يجب أن يختفي في أي مكان. لذلك ، في حالة حدوث ذلك ، من الأفضل التحقق بعد إغلاق المتصفح من عدم وجود عمليات تشغيل مثل chrome.exe وما شابه في إدارة المهام. على الرغم من أن العديد من المستخدمين في الوقت الحاضر لا يغلقون المتصفح مطلقًا. لذلك تبقى الطريقة الأخيرة - لمراقبة حمل المعالج باستمرار ، يوصي الخبراء في مختبرات Malwarebytes.

كما ينشرون مؤشرات الإصابة للتحقق من عدم ظهور أي شيء إضافي على الموقع:

145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining site

وحدة Cryptonight WebAssembly:

fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bc

من غير المحتمل أن يتم خداع أي شخص أكثر أو أقل كفاءة فنية بهذه الطريقة. على الأقل ليس لفترة طويلة. ولكن هناك عدد كبير من المستخدمين الذين لا يعرفون أي شيء عن عمال المناجم المشفرة في المتصفح ، لذلك يمكن أن تصبح هذه البرامج الضارة شائعة للغاية.