Drive-by cryptomining også kendt som cryptojacking har udviklet sig til en af de største trusler mod online brugere. Forskere kommer på tværs flere og flere tilfælde af misbrug, der involverer Coinhive.
Den Coinhive minedrift inden en browser forklaret
Hvad er Coinhive? Coinhive blev oprettet i september i år. Simpelthen forklaret, softwaren tillader Monero minedrift direkte i en browser. Som forklaret af udviklerne af software, Coinhive tilbyder en JavaScript minearbejder for Monero Blockchain der kan integrere i et websted. Brugere af hjemmesiden køre minearbejder direkte i deres browser og mine XMR til hjemmesiden ejer til gengæld for en annonce-fri oplevelse, in-game valuta eller hvad incitamenter du kan komme op med.
Softwaren er let integreres takket være dens API-integration, og er generelt forenklet. Men, den manglende anvendelse en opt-in processen til at levere brugerens samtykke gør det på en måde tvivlsomme. Resultatet er, at softwaren er blevet misbrugt til et utroligt omfang, og tendensen fortsætter, mens vi taler. Vi skrev for nylig om den alarmerende tendens i det stigende antal hjemmesider ved hjælp Coinhive manuskript til minen for Monero. Dybest set, Forskerne konkluderede, at 1 i 1,000 hjemmesider kører Coinhive.
Ny teknik gør det muligt for ondsindede aktører til at fortsætte minedrift selv efter en browseren lukkes
Denne tendens er nu går endnu mere problematisk, da forskere faldt over en teknik, der gør det muligt for hackere at holde minedrift for Monero selv efter browservinduet lukkes. Den forskning, der udføres af Jerome Segura var fokuseret på Chrome-browseren, men andre browsere kan påvirkes så godt, med forskellige udfald for hver browser.
Hvad sker der efter en bruger besøger en hjemmeside, som er lydløst indlæsning af minedrift kode er, at CPU aktiviteten er stigende, men det er ikke maxing. Efter brugeren forlader bestemt websted via lukker Chrome-vinduet, hans maskinens CPU aktivitet forbliver højere end normalt. Dette er et tegn på, at den cryptomining proces er ikke genoptages med lukningen af browseren. Hvordan er dette endda muligt?
Forskere bemærket denne aktivitet på en voksen hjemmeside kendt for at implementere aggressive reklameteknikker. Mens analysere netværkstrafik slyngelstater browservindue blev bemærket, samt hvor det kom fra, og hvad det indlæst.
- Pop-under er blevet identificeret – elthamely[.]med - og var opdaget at starte fra Ad Maven netværk.
Kort sagt, Ad-maven(.)com er stedet for en platform for ydeevne markedsføring. Ad Maven anses adware i form af at producere et væld af reklamer omdirigere brugeren til forskellige tvivlsomme steder. Netværket får også penge fra disse tjenester og internettet trafik, at dens annoncer genererer.
Selvom de synlige browservinduer er lukket, en skjult session forbliver åbnet, hvilket gør det drive-by cryptomining vedholdende. Dette er muligt takket være en pop-under lavet til at passe under proceslinjen, lige bag uret.
Hvad sker der efter elthamely[.]com pop-under indlæses fra Ad Maven netværk? Ressourcer fra Amazon CloudFront[.]nettet er loaded, og en nyttelast er taget fra en anden Doman - hatevery(.)info.
Forskere også bemærket funktioner fra Coinhive dokumentation designet til at kontrollere, om en browser understøtter WebAssembly, et lavt niveau bytecode format til i-browser klient-side scripting, der udviklede sig fra JavaScript. Funktionen giver brugeren mulighed for at fuldt ud at bruge den hardware kapacitet direkte fra browseren. Hvis browseren ikke understøtter WebAssembly, det ville vende tilbage til den langsommere JavaScript-version.
Hvordan man kan stoppe denne nye form for drive-by cryptomining a.k.a. cryptojacking
I betragtning af den type pop-under indsat af ondsindede aktører til at omgå adblockers og skjule sin aktivitet fra brugere, blot at lukke browseren vil ikke gøre. Berørte brugere skal køre Jobliste til at sørge for, at der ikke er nogen sidesten processer. Hvis en sådan findes, de bør fjernes straks.
Afslutningsvis, drive-by cryptomining vil sikkert fortsætte med at udvikle sig og blive mere farlig for brugerne. Ondsindede aktører vil fortsætte med at søge efter midler til at distribuere drive-by minedrift. Som et resultat, malvertising bliver endnu mere truende med denne nye teknik, der sætter alle platforme og browsere i fare.
I betragtning af den nuværende trusselsbillede, Det anbefales kraftigt, at alle sikkerhedsforanstaltninger er i betragtning, herunder brug af en anti-malware program, der aktivt beskytter systemet mod alle former for exploits.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: