Поставщик программного обеспечения для информационной безопасности Trend Micro на сайтах с высоким трафиком обнаружил вредоносное приложение, принадлежащее Coinhive. Программа написана на языке Java и позволяет администраторам сайтов майнить Monero с помощью компьютеров посетителей.

В своем блоге Trend Micro написал, что вредоносное ПО нацелено на сервис DoubleClick от Google, который дает возможность размещать рекламные объявления на релевантных страницах интернет-ресурсов. Деятельность нового майнерского приложения была отмечена в ряде развитых стран: Франции, Италии, Тайване, Японии и Испании. 18 января пять вредоносных доменов демонстрировали сумасшедший рост трафика, в результате чего число майнеров Coinhive за несколько суток увеличилось на 285%. Главным источником трафика послужил сервис DoubleClick.

Trend Micro провел собственное расследование и установил, как именно устроена схема скрытого майнинга Monero. Оказывается, что вредоносное приложение имело несколько скриптов, с помощью которых незаметно встраивалось в сервис. Пока нападавшая веб-страница отображала реальную рекламу, скрипты-майнеры выполняли скрытые задачи.

Каждое объявление DoubleClick содержит в своем коде случайное число от 1 до 100. Когда появлялась реклама с переменной более 10, вредоносное ПО предупреждало об этом Coinhive.min и задействовало до 80% мощностей компьютера посетителя. Таким образом осуществлялся скрытый майнинг Monero. Для того чтобы пользователю не нужно было выплачивать вознаграждение в размере 30% один из модифицированных скриптов использовал сторонний пул: wss[:]//ws[.]l33tsite[.]info[:]8443.

Способы защиты от подобного скрытого майнинга

Предотвратить эксплуатацию мощностей вашего компьютера сторонними лицами проще всего с помощью блокировки в браузере всех приложений, написанных на языке Java. Однако это может причинить ряд неудобств в работе с нормальными сервисами, поэтому лучше воспользоваться разработками компании Trend Micro:

• Worry-free Business Security и Smart Protection Suites защищают компьютер от различных хакерских угроз путем блокирования подозрительных файлов и связанных с ними URL-адресов;
• Micro Protection Suites позволяет наблюдать за поведением различных интернет-сервисов, отслеживать их репутацию и производить блокировку в ручном режиме.