Koparki kryptomonet w reklamach – przeglądarki pracują na oszustów
Zwolennicy blokowania reklam na stronach internetowych dostaliwłaśnie kolejny argument na rzecz AdBlocka i jemu podobnychrozwiązań. ESET donosi o pojawieniu się złośliwych kampanireklamowych z wbudowanymi koparkami kryptomonet, które potrafiąznacząco obciążyć komputery użytkowników, gdy tylko zostanąwyświetlone. Wystarczy stronę opuścić, a złośliwa reklama znikabez śladu… no może pozostawiając za sobą wyższy rachunek zaelektryczność.
15.09.2017 22:17
Złośliwe reklamy z koparkami kryptomonet długo ukrywały sięprzed wzrokiem specjalistów od bezpieczeństwa. Napastnicy staralisię działać bardzo dyskretnie, umieszczając swoje kampaniereklamowe tylko na stronach z grami online, streamingiem wideo ihazardem – a więc zwykle znacznie bardziej obciążające dla CPU.Ofiary nie były więc zaskoczone, gdy w pewnym momencie całykomputer spowalniał, a wentylatory wchodziły na wyższe obroty.
Jak jednak umieścić koparkę kryptowalut w reklamieinternetowej? Nie jest to szczególnie trudne. Wykorzystano w tymcelu powstały trzy lata temu skrypt MineCrunch,który jest implementacją koparki na CPU w JavaScripcie – a todzięki cudom kompilatora Emscripten,pozwalającego przekształcić kod C/C++ do postaci wykonywalnej wprzeglądarce.
Oczywiście stojący za tą kradzieżą zasobów komputera niebyli tak głupi, by kopać bitcoiny. Pierwsza i największa zpopularnych kryptowalut jest dziś wyliczana wyłącznie za pomocąspecjalizowanego sprzętu. Postawiono na kryptomonety, które wciążdobrze liczą się na CPU i których wydobycie jest w staniewygenerować jakieś zyski dla oszustów. Kopano więc przedewszystkim Monero, korzystając z jednej z sieci reklamowych, któranie miała nic przeciwko temu, aby emitowane przez nią reklamyzawierały własny JavaScript.
Namierzono też jedną kampanię reklamową, która kopała Zcash.W tym wypadku miała to być inna grupa, która zamiast złośliwychreklam osadziła kod koparek w samej stronie internetowej. Niewiadomo, czy był to efekt włamania, czy celowe działanieadministratora. Taka forma nadużycia jest jednak na pewnoskuteczniejsza – blokery reklam jej nie powstrzymają.
Póki co trudno powiedzieć, na jaką skalę działali napastnicy.ESET niedawno donosił o tym, że w tym roku przynajmniej 1,65 mlnkomputerów zostało zarażonych malware z koparkami kryptowalut. Wtym wypadku trudno jednak mówić o zarażeniu, ponieważ koparkiprzestają działać po zamknięciu strony. Wiadomo jedynie, żepodczas kampanii kopania kryptomonety Monero, strony internetowe naktórych emitowano złośliwe reklamy miały otrzymać tyle samoruchu DNS, co popularna usługa wklejek GitHuba – gist.
Warto przypomnieć, że kopanie kryptomonet w przeglądarce niejest niczym nowym. Powstała w 2014 roku firma Tidbit oferowaławydawcom stron internetowych rozwiązanie do wykorzystania mocyobliczeniowej komputerów użytkowników, którzy odwiedzali ichstrony. Ostatecznie Tidbit został zlikwidowany przez amerykańskąprokuraturę, która uznała operacje takie za formę nielegalnegouzyskania dostępu do komputera. Ani bowiem Tidbit ani właścicielestron internetowych nie prosili bowiem użytkowników o pozwolenie nauruchomienie tak agresywnego kodu.
Więcej informacji o koparkach ukrytych w reklamach znajdziecie wraporcie firmy ESET na blogu WeLive Security.