El programa de afiliados de minería de criptomonedas de Coinhive en los navegadores de los usuarios (y otros mineros de JS) está ganando cada vez más popularidad entre los cibercriminales. Los usuarios desprevenidos van al sitio, y no se dan cuenta de que tienen un fuerte aumento en la carga de la CPU (los mineros de Coinhive Monero usan el algoritmo CryptoNight, que crea un gran bloque en la memoria y evita el paralelismo interno, por lo que la minería elimina el uso de ASIC y es más eficaz en CPU).
Los atacantes continúan hackeando sitios y hospedando scripts de minería. Lo mismo ocurre con las extensiones del navegador. Recientemente, han implementado el minero CryptoLoot
incluso en el script CookieScript.info , que ayuda a otros sitios a mostrar una advertencia sobre el uso de cookies a pedido de la Unión Europea: este es el servicio gratuito más popular de este tipo, es utilizado por miles de otros sitios, de lo contrario se enfrentan a una multa de la Unión Europea de hasta $ 500,000.
Uno podría mirar las actividades de los atacantes con una sonrisa: bueno, ¿cuánto generarán allí en dos minutos que el usuario pasa en el sitio? La naturaleza efímera de la minería en el navegador siguió siendo el principal inconveniente de este tipo de malware. Pero los expertos de Malwarebytes Labs
señalan que los propietarios de las "botnets de minería", desafortunadamente, pudieron eliminar este inconveniente. Ahora la minería en las computadoras de los usuarios continúa incluso después de que abandonaron el sitio infectado. E incluso después de cerrar el navegador.
Las pruebas se realizaron en el navegador Google Chrome. La
animación muestra que cuando cierra el navegador con un sitio normal, el uso de la CPU cae inmediatamente a aproximadamente cero. Pero cuando cierra el sitio con el minero incorporado, por alguna razón, el uso de la CPU permanece en el mismo nivel de más del 60% (para disimular, el minero no carga correctamente el procesador al máximo).
El truco es que a pesar del cierre visible de la ventana del navegador, de hecho, Google Chrome no se cierra, pero permanece en la memoria. El malware abre
una ventana emergente invisible debajo . Es cierto que esta es una técnica muy competente.
Las coordenadas de la ventana emergente se seleccionan de tal manera que se oculten
exactamente detrás del reloj en la barra de tareas.
Las coordenadas de la ventana pueden variar ligeramente, dependiendo de la resolución de la pantalla en la computadora de la víctima, pero se coloca detrás del reloj. Es cierto, hay una advertencia. Si el tema operativo tiene un tema de diseño con translucidez, entonces la ventana todavía es ligeramente visible detrás del panel (vea la captura de pantalla al comienzo del artículo).
Los expertos en seguridad tropezaron accidentalmente con este truco cuando visitaron uno de los sitios pornográficos. La red publicitaria agresiva Ad Maven funciona allí, que
evita los bloqueadores de anuncios y, a su vez, carga recursos de la nube de Amazon; esta es una forma de evitar el bloqueador de anuncios. Aunque la carga maliciosa .wasm en sí no se carga directamente desde AWS, sino desde un alojamiento de terceros.
En el código del script, puede observar algunas funciones que se mencionan en la
documentación del minero Coinhive . Por ejemplo, hay una verificación para el soporte de WebAssembly: al usar esta tecnología, el navegador usa más completamente los recursos del hardware instalado en la computadora. Si WebAssembly no es compatible, entonces el minero cambia a una versión de JavaScript más lenta (asm.js).
Como se mencionó anteriormente, el minero no controla la frecuencia del procesador en un 100%, sino que la carga moderadamente para que funcione silenciosamente durante mucho tiempo.
Dado este astuto comportamiento de malware, es difícil confiar completamente en los bloqueadores de anuncios. Ahora, después de cerrar el navegador, aún debe verificar que el navegador haya desaparecido de la barra de tareas donde se cuelgan los procesos en ejecución. Pero si el icono está conectado al panel, no debería desaparecer en ningún lado. Por lo tanto, por si acaso, es mejor verificar después de cerrar el navegador que no hay procesos en ejecución como chrome.exe y similares en el administrador de tareas. Aunque muchos usuarios hoy en día nunca cierran el navegador. Por lo tanto, el último método permanece: monitorear constantemente la carga del procesador, recomiendan los expertos de Malwarebytes Labs.
También publican indicadores de infección para verificar que no haya aparecido nada extra en el sitio:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteMódulo Cryptonight WebAssembly:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bcEs improbable que una persona más o menos técnicamente competente sea engañada de esta manera. Al menos no por mucho tiempo. Pero hay una gran cantidad de usuarios que no saben nada sobre los mineros de cifrado en el navegador, por lo que dicho malware puede volverse muy popular.