Drive-by cryptomining noto anche come cryptojacking si è trasformata in una delle principali minacce per utenti. I ricercatori stanno arrivando attraverso sempre più casi di abuso che coinvolgono Coinhive.
L'estrazione Coinhive all'interno di un browser spiegato
Che cosa è Coinhive? Coinhive è stato creato nel settembre di quest'anno. semplicemente spiegato, il software permette Monero estrazione direttamente all'interno di un browser. Come spiegato dagli sviluppatori del software, Coinhive offre un minatore JavaScript per il Monero Blockchain che può incorporare in un sito web. Gli utenti del sito eseguire il minatore direttamente nel browser e la mia XMR per il proprietario del sito, a sua volta per un'esperienza senza pubblicità, in-game valuta o qualunque incentivi si può trovare con.
Il software è facilmente integrabile grazie alla sua integrazione API, ed è nel complesso semplicistico. Tuttavia, la mancata applicazione di un processo di opt-in per fornire l'autorizzazione dell'utente lo rende in qualche modo dubbia. Il risultato è che il software è stato abusato in misura incredibile, e la tendenza continua, come si parla. Recentemente abbiamo scritto circa la preoccupante tendenza del crescente numero di siti web utilizzando lo script di Coinhive alla mia per Monero. Fondamentalmente, i ricercatori sono giunti alla conclusione che 1 in 1,000 siti web è in esecuzione Coinhive.
Nuova tecnica permette attori maligni di continuare l'estrazione anche dopo un browser viene chiuso
Questa tendenza è ora di andare ancora più problematico, in quanto i ricercatori inciampato su una tecnica che consente agli utenti malintenzionati di mantenere mineraria per Monero anche dopo la finestra del browser viene chiuso. La ricerca effettuata da Jerome Segura è stata focalizzata sul browser Chrome, ma altri browser può essere influenzato pure, con esiti diversi per ogni browser.
Che cosa accade dopo che un utente visita un sito web, che viene silenziosamente caricare il codice mineraria è che l'attività CPU sta aumentando, ma non è maxing. Dopo che l'utente lascia il sito particolare attraverso la chiusura della finestra di Chrome, attività della CPU di sua macchina rimane più alta del solito. Questo è un segno che il processo cryptomining non si riprende con la chiusura del browser. Come è anche possibile?
I ricercatori hanno notato questa attività su un sito web per adulti noto per implementare tecniche pubblicitarie aggressive. Mentre l'analisi del traffico di rete della finestra del browser ladro è stato notato, come pure da dove è venuto e che cosa caricato.
- Il pop-under è stato identificato – elthamely[.]con - ed era rilevato per avviare dalla rete Ad Maven.
Poco detto, Ad-maven(.)com è il sito di una piattaforma per il marketing delle prestazioni. Maven annuncio viene considerato adware in termini di produzione di una moltitudine di annunci reindirizzare l'utente a vari siti dubbie. La rete guadagna anche soldi da tali servizi e il traffico internet che i suoi annunci generano.
Anche se le finestre del browser visibili sono chiuse, una sessione nascosta resta aperto, rendendo il drive-by cryptomining persistente. Questo è possibile grazie ad un pop-under fatta per adattarsi sotto la barra delle applicazioni, proprio dietro l'Orologio.
Cosa succede dopo elthamely[.]com pop-under è caricato dalla rete Ad Maven? Risorse da cloudfront[.]net sono loaded, e un carico utile viene preso da un altro doman - hatevery(.)Informazioni.
I ricercatori hanno anche notato funzioni dalla documentazione Coinhive progettato per verificare se un browser supporta WebAssembly, un formato bytecode basso livello per il browser in-scripting lato client, che si è evoluta da JavaScript. La funzione consente all'utente di utilizzare pienamente la capacità dell'hardware direttamente dal browser. Se il browser non supporta WebAssembly, sarebbe tornare alla versione più lenta JavaScript.
Come fermare questo nuovo tipo di drive-by cryptomining a.k.a. cryptojacking
Considerando il tipo di pop-under messo in atto da attori malintenzionati per bypassare adblockers e nascondere la sua attività da parte degli utenti, semplicemente chiudendo il browser non lo farà. gli utenti interessati devono eseguire Task Manager per assicurarsi che non vi siano processi rimanenti. Se tale si trovano, essi devono essere eliminati immediatamente.
Insomma, drive-by cryptomining sicuramente continuerà ad evolversi e diventare più pericoloso per gli utenti. attori maligni continueranno a cercare i mezzi per distribuire drive-by mineraria. Di conseguenza, malvertising sta diventando sempre più minaccioso con questa nuova tecnica che mette tutte le piattaforme e browser a rischio.
Considerando il panorama delle minacce attuali, è fortemente raccomandato che tutte le misure di sicurezza sono in considerazione, compreso l'uso di un programma anti-malware che protegge attivamente il sistema da tutti i tipi di exploit.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: