Подобный способ распространения криптомайнеров позволяет запускать их на бесчисленном количестве веб-сайтов и даже на видеосервисе YouTube.
Компания Trend Micro сообщает, что первые случаи взлома платформы Google DoubleClick зафиксированы 18 января 2018 года, а к 23 января активность злоумышленников значительно возросла.
График выше показывает обнаружение модулей Coinhive в рекламных блоках Google DoubleClick.
Хакеры разместили майнеры Coinhive в YouTube 23 января
Огромный всплеск на графике представляет собой момент, когда злоумышленники решили разместить вредоносную рекламу на видеосервисе YouTube, крупнейшей платформе для видеохостинга в мире.
После данного события в сервисе микроблогов Twitter один за одним стали появляться упоминания об опасности. Согласно некоторым отчетам, различные антивирусные продукты обнаруживали криптомайнер Coinhive при посещении YouTube. Стала понятна и тактика хакеров - JavaScript код майнера был скрыт в рекламе, которая отображалась на страницах с видеороликами.
The same form me. Maybe youtube is using coinhive . com ? pic.twitter.com/GUSItBp1tM
— Neretva (@neretva2010) 24 января 2018 г.
Сервис Coinhive появился в сентябре прошлого года и позиционировал себя как услугу для монетизации веб-сайтов, которая может быть использована в качестве альтернативы классическим онлайн-объявлениям. Сервис использует код JavaScript, чтобы добывать криптовалюту Monero внутри браузера посетителя сайта.
Несмотря на, казалось бы, благие намерения, сервис стал очень популярен среди мошенников, которые распространяют код веб-майнера Coinhive на взломанных сайтах, через вредоносную рекламу, внутри настольных приложений и игровых модов.
После первоначального успеха Coinhive в Интернете были запущены другие аналогичные сервисы. Эти сервисы получают доход за счет комиссии с добытой владельцами сайтов криптовалюты.
Данная вредоносная тактика загрузки JavaScript майнеров в браузеры и другие приложения, в которых выполняется код JavaScript называется криптоджекинг (от англ. cryptojacking) или скрытый майнинг (от англ. drive-by mining).
На текущий момент против данных видов угроз эффективны некоторые блокировщики рекламы, антивирусы, а также расширения, отключающие исполнение JavaScript (таких как NoScript и uMatrix).
Угрозы безопасности
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге