Drive-by cryptomining também conhecido como cryptojacking se transformou em uma das principais ameaças aos usuários on-line. Os pesquisadores estão vindo através de mais e mais casos de abuso envolvendo Coinhive.
Explicação da mineração Coinhive em um navegador
O que é Coinhive? Coinhive foi criado em setembro deste ano. Simplesmente explicado, o software permite a mineração Monero diretamente em um navegador. Conforme explicado pelos desenvolvedores do software, A Coinhive oferece um minerador JavaScript para o Monero Blockchain que pode ser embutido em um site. Os usuários do site executar o mineiro diretamente no seu navegador e os meus XMR para o dono do site, por sua vez para uma experiência ad-free, moeda do jogo ou o que incentivos você pode vir até com.
O software é facilmente integrado graças à sua integração API, e é no geral simplista. Contudo, a falha em aplicar um processo de opt-in para fornecer o consentimento do usuário torna-o de alguma forma duvidoso. O resultado é que o software foi abusado de forma inacreditável, e a tendência continua enquanto falamos. Recentemente, escrevemos sobre a tendência alarmante do número crescente de sites que usam o script do Coinhive para minerar no Monero. Basicamente, pesquisadores chegaram à conclusão de que 1 no 1,000 sites estão executando o Coinhive.
A nova técnica permite que agentes mal-intencionados continuem explorando, mesmo depois que um navegador é fechado
Esta tendência está ficando ainda mais problemática à medida que os pesquisadores descobrem uma técnica que permite que usuários mal-intencionados continuem minerando Monero mesmo depois que a janela do navegador for fechada. A pesquisa realizada por Jerome Segura teve como foco o navegador Chrome, mas outros navegadores também podem ser afetados, com resultados diferentes para cada navegador.
O que acontece depois que um usuário visita um site, que está carregando silenciosamente o código de mineração é que a atividade da CPU está aumentando, mas não está no limite. Depois que o usuário sai do site específico fechando a janela do Chrome, a atividade da CPU de sua máquina permanece mais alta do que o normal. Este é um sinal de que o processo de criptominação não é retomado com o fechamento do navegador. Como isso é possível?
Os pesquisadores notaram essa atividade em um site adulto conhecido por implantar técnicas agressivas de publicidade. Ao analisar o tráfego da rede, a janela do navegador desonesto foi notada, bem como de onde veio e o que carregou.
- O pop-under foi identificado – elthamely[.]com - e foi detectado para lançamento da rede Ad Maven.
disse brevemente, Ad-maven(.)com é o site de uma plataforma para marketing de desempenho. O Ad Maven é considerado adware em termos de produção de uma infinidade de anúncios redirecionando o usuário para vários sites duvidosos. A rede também ganha dinheiro com esses serviços e com o tráfego da Internet que seus anúncios geram.
Mesmo que as janelas visíveis do navegador estejam fechadas, uma sessão oculta permanece aberta, tornando a criptominação persistente. Isso é possível graças a um pop-under feito para caber na barra de tarefas, bem atrás do relógio.
O que acontece depois de elthamely[.]com pop-under é carregado da rede Ad Maven? Recursos da Amazon cloudfront[.]a rede está carregada, e uma carga é retirada de outro doman - todos os(.)informações.
Os pesquisadores também notaram funções da documentação Coinhive projetado para verificar se um navegador é compatível com WebAssembly, um formato de bytecode de baixo nível para scripts do lado do cliente no navegador, que evoluiu do JavaScript. O recurso permite que o usuário use totalmente a capacidade do hardware diretamente do navegador. Se o navegador não for compatível com WebAssembly, voltaria para a versão JavaScript mais lenta.
Como parar este novo tipo de criptomineração drive-by a.k.a. cryptojacking
Considerando o tipo de pop-under implantado por agentes mal-intencionados para ignorar adblockers e ocultar sua atividade dos usuários, simplesmente fechar o navegador não adianta. Os usuários afetados devem executar o Gerenciador de Tarefas para se certificar de que não há processos remanescentes. Se forem encontrados, eles devem ser eliminados imediatamente.
Em conclusão, A criptominação drive-by certamente continuará a evoluir e se tornar mais perigoso para os usuários. Atores mal-intencionados continuarão a procurar meios de distribuir a mineração drive-by. Como um resultado, malvertising está se tornando ainda mais ameaçador com essa nova técnica que coloca todas as plataformas e navegadores em risco.
Considerando o cenário de ameaças atual, é altamente recomendável que todas as medidas de segurança sejam levadas em consideração, incluindo o uso de um programa anti-malware que protege ativamente o sistema de todos os tipos de exploits.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter