Program afiliasi penambangan cryptocurrency Coinhive di browser pengguna (dan penambang JS lainnya) semakin populer di kalangan penjahat cyber. Pengguna yang tidak menaruh curiga mengunjungi situs - dan tidak memperhatikan bahwa mereka memiliki peningkatan tajam dalam beban CPU (Coinhive miners Monero menggunakan algoritma CryptoNight, yang menciptakan blok besar dalam memori dan mencegah paralelisme internal, sehingga penambangan menghilangkan penggunaan ASIC dan paling efektif pada CPU).
Penyerang terus meretas situs dan menghosting skrip penambangan. Hal yang sama berlaku dengan ekstensi browser. Baru-baru ini, mereka telah mengimplementasikan penambang CryptoLoot
bahkan dalam skrip CookieScript.info , yang membantu situs lain menampilkan peringatan tentang penggunaan cookie atas permintaan Uni Eropa - ini adalah layanan gratis paling populer dari jenis ini, digunakan oleh ribuan situs lain, jika tidak mereka akan dikenakan denda dari Uni Eropa hingga $ 500.000.
Orang bisa melihat aktivitas para penyerang sambil nyengir: ya, berapa banyak yang akan mereka hasilkan di sana dalam dua menit yang dihabiskan pengguna di situs? Sifat sementara penambangan di browser tetap menjadi kelemahan utama dari jenis malware ini. Tetapi para ahli di Malwarebytes Labs
mencatat bahwa para pemilik "botnet pertambangan", sayangnya, dapat menghilangkan kelemahan ini. Sekarang menambang di komputer pengguna berlanjut bahkan setelah mereka meninggalkan situs yang terinfeksi. Dan bahkan setelah menutup browser.
Pengujian dilakukan di browser Google Chrome.
Animasi menunjukkan bahwa ketika Anda menutup browser dengan situs normal, penggunaan CPU segera turun menjadi sekitar nol. Tetapi ketika Anda menutup situs dengan penambang bawaan, untuk beberapa alasan, penggunaan CPU tetap pada tingkat yang sama lebih dari 60% (untuk penyamaran, penambang tidak memuat prosesor dengan benar secara maksimal).
Kuncinya adalah bahwa meskipun jendela browser terlihat menutup, nyatanya, Google Chrome tidak menutup, tetapi tetap tersimpan dalam memori. Malware membuka
jendela sembulan yang tidak terlihat . Diakui, ini adalah teknik yang sangat kompeten.
Koordinat jendela pop-up dipilih sedemikian rupa untuk menyembunyikan
tepat di belakang jam di taskbar.
Koordinat jendela mungkin sedikit berbeda, tergantung pada resolusi layar pada komputer korban, tetapi ditempatkan di belakang jam. Benar, ada satu peringatan. Jika tema operasi memiliki tema desain dengan tembus cahaya, maka jendela masih sedikit terlihat di belakang panel (lihat tangkapan layar di awal artikel).
Para pakar keamanan secara tidak sengaja menemukan trik ini ketika mengunjungi salah satu situs porno. Jaringan iklan agresif Ad Maven berfungsi di sana, yang mem-bypass pemblokir iklan dan, pada gilirannya, memuat sumber daya dari cloud Amazon - ini adalah salah satu cara untuk mem-bypass pemblokir iklan. Meskipun .wasm load jahat itu sendiri tidak diambil langsung dari AWS, tetapi dari hosting pihak ketiga.
Dalam kode skrip, Anda dapat melihat beberapa fungsi yang disebutkan dalam
dokumentasi penambang Coinhive . Misalnya, ada tanda centang untuk dukungan WebAssembly - menggunakan teknologi ini, browser paling penuh menggunakan sumber daya perangkat keras yang diinstal pada komputer. Jika WebAssembly tidak didukung, maka penambang beralih ke versi JavaScript yang lebih lambat (asm.js).
Seperti disebutkan di atas, penambang tidak menggerakkan frekuensi prosesor sebesar 100%, tetapi memuatnya secara moderat untuk bekerja dalam waktu lama.
Mengingat perilaku malware yang licik ini, sulit untuk sepenuhnya mengandalkan pemblokir iklan. Sekarang, setelah menutup browser, Anda masih perlu memeriksa bahwa browser telah menghilang dari taskbar tempat proses yang berjalan tergantung. Tetapi jika ikon terpasang ke panel, itu tidak boleh hilang di mana pun. Oleh karena itu, untuk berjaga-jaga, lebih baik untuk memeriksa setelah menutup browser bahwa tidak ada proses yang berjalan seperti chrome.exe dan sejenisnya di task manager. Meskipun banyak pengguna saat ini tidak pernah menutup browser sama sekali. Jadi metode terakhir tetap - untuk terus memantau beban prosesor, para ahli di Malwarebytes Labs merekomendasikan.
Mereka juga menerbitkan indikator infeksi untuk memverifikasi bahwa tidak ada tambahan yang muncul di situs:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteModul Cryptonight WebAssembly:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bcOrang yang kurang lebih kompeten secara teknis tidak mungkin tertipu dengan cara ini. Setidaknya tidak lama. Tetapi ada sejumlah besar pengguna yang tidak tahu apa-apa tentang penambang crypto di browser, sehingga malware semacam itu bisa menjadi sangat populer.