O programa de afiliação de mineração de criptomoeda da Coinhive nos navegadores dos usuários (e outros mineradores de JS) está ganhando cada vez mais popularidade entre os cibercriminosos. Usuários desavisados visitam o site - e não prestam atenção ao aumento acentuado da carga da CPU (os mineradores Coinhive Monero usando o algoritmo CryptoNight, que cria um grande bloco de memória e evita o paralelismo interno, a mineração elimina o uso do ASIC e é mais eficaz em CPU).
Os invasores continuam a invadir sites e hospedar scripts de mineração. O mesmo acontece com as extensões do navegador. Recentemente, eles implementaram o minerador CryptoLoot
mesmo no script CookieScript.info , que ajuda outros sites a exibir um aviso sobre o uso de cookies a pedido da União Europeia - este é o serviço gratuito mais popular desse tipo, é usado por milhares de outros sites, caso contrário, eles podem ser multados na União Europeia de até US $ 500.000.
Pode-se olhar para as atividades dos atacantes com um sorriso: bem, quanto eles gerarão lá em dois minutos que o usuário gasta no site? A natureza efêmera da mineração no navegador permaneceu a principal desvantagem desse tipo de malware. Mas especialistas do Malwarebytes Labs
observam que os proprietários das "botnets de mineração", infelizmente, foram capazes de eliminar essa desvantagem. Agora, a mineração nos computadores dos usuários continua mesmo depois que eles saem do site infectado. E mesmo depois de fechar o navegador.
Os testes foram realizados no navegador Google Chrome. A
animação mostra que, quando você fecha o navegador com um site normal, o uso da CPU cai imediatamente para cerca de zero. Porém, quando você fecha o site com o minerador interno, por algum motivo, o uso da CPU permanece no mesmo nível de mais de 60% (por disfarce, o mineiro não carrega corretamente o processador ao máximo).
O truque é que, apesar do fechamento visível da janela do navegador, o Google Chrome não fecha, mas permanece na memória. O malware abre
uma janela pop- up invisível . É certo que esta é uma técnica muito competente.
As coordenadas da janela pop-up são selecionadas de forma a ocultar
exatamente atrás do relógio na barra de tarefas.
As coordenadas da janela podem variar um pouco, dependendo da resolução da tela no computador da vítima, mas são colocadas atrás do relógio. É verdade que há uma ressalva. Se o tema operacional tiver um tema de design com translucidez, a janela ainda estará um pouco visível atrás do painel (consulte a captura de tela no início do artigo).
Os especialistas em segurança acidentalmente descobriram esse truque ao visitar um dos sites pornográficos. A agressiva rede de anúncios Ad Maven trabalha lá, que
ignora os bloqueadores de anúncios e, por sua vez, carrega recursos da nuvem da Amazon - essa é uma maneira de ignorar o bloqueador de anúncios. Embora o próprio carregamento malicioso .wasm não seja carregado diretamente da AWS, mas de uma hospedagem de terceiros.
No código do script, você pode observar algumas funções mencionadas na
documentação do minerador Coinhive . Por exemplo, há uma verificação do suporte ao WebAssembly - usando essa tecnologia, o navegador utiliza mais os recursos do hardware instalado no computador. Se o WebAssembly não for suportado, o mineiro alternará para uma versão mais lenta do JavaScript (asm.js.).
Como mencionado acima, o mineiro não conduz a frequência do processador em 100%, mas a carrega moderadamente para funcionar silenciosamente por um longo tempo.
Dado esse comportamento astuto de malware, é difícil confiar inteiramente em bloqueadores de anúncios. Agora, depois de fechar o navegador, você ainda precisa verificar se o navegador desapareceu da barra de tarefas em que os processos em execução estão suspensos. Mas se o ícone estiver anexado ao painel, ele não deverá desaparecer em lugar algum. Portanto, por precaução, é melhor verificar após o fechamento do navegador se não há processos em execução como o chrome.exe e similares no gerenciador de tarefas. Embora muitos usuários hoje em dia nunca fechem o navegador. Portanto, o último método permanece - para monitorar constantemente a carga do processador, recomendam os especialistas do Malwarebytes Labs.
Eles também publicam indicadores de infecção para verificar se nada extra apareceu no site:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteMódulo Cryptonight WebAssembly:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bcÉ improvável que qualquer pessoa mais ou menos tecnicamente competente seja enganada dessa maneira. Pelo menos não por muito tempo. Mas há um grande número de usuários que não sabem nada sobre mineradores de criptografia no navegador, portanto esse malware pode se tornar muito popular.