ESET: скрытый майнинг в браузерах продолжает распространяться
Интернет захлестнула новая волне программ, загружаемых через веб-сайты, которые используют мощности процессора для майнинга криптовалюты, пока пользователь открывает страницу. В некоторых случаях это действительно вирусы, в других – преднамеренное решение создателей трекеров, которые используют скрипты майнинга для получения прибыли.
Так пользователи крупнейшего торрент-трекера Pirate Bay (TPB) на прошлой неделе заметили, что при посещении сайта их процессор работает под большой нагрузкой. Оказалось, что создатели трекера без предупреждения разместили на некоторых страницах скрипт для майнинга криптовалюты Monero. Его можно заблокировать, используя NoScript или JavaScript, но пользователи возмущены тем, что TPB не сделал никаких предупреждений по этому поводу.
«Между тем, появилось и новое ПО на базе браузера, которое также использует JavaScript для майнинга, – рассказывают представители производителя антивирусов, компании ESET. – Мы классифицируем его как вредоносное ПО, поскольку оно приводит к активности, которую конечный пользователь не разрешил или не одобрил. В отличие от других усилий, эти майнеры JavaScript не загружают утилиты в систему».
ESET отнесла эти скрипты к malvertising (техника, при которой киберпреступники используют вредоносную рекламу для скрытия вредоносного кода в рекламном объявлении: для заражения даже не требуется нажимать на баннер), поскольку оно появляется в рекламе, несмотря на то, что такая навязчивая реклама обычно запрещена.
Защита сети от вредоносной рекламы – довольно сложный процесс, поскольку она применяется в автоматизированных процессах, а разработчики malvertising научились выдавать свои продукты за законные и обходить антивирусы, используемые большинством рекламных площадок.
Вредоносное ПО monero-eset-fig-3 распространилось на территории стран Восточной Европы и России. Оно ориентировано на видео-и игровые веб-сайты, поскольку пользователи, как правило, тратят больше времени на их контент, поэтому снижается вероятностью заметить признаки повышения потребления электроэнергии (в частности шум) или предполагают, что это вызвано самой игрой или видео, а не встроенным майнером.
Компании, использующие Fig-6-Monero, не скромничают: скрипт может использовать ЦП на 100%. Подобно реализации на TPB, эти скрипты могут быть майнерами Feathercoin, Litecoin или Monero.
ESET призывает быть бдительными и следить за изменениями нагрузка на процессор, будь то встроенный майнер вредоносной рекламы или разработка представителей компании, о которой они не сообщили.