Мошенники, использующие чужие компьютеры для майнинга криптовалют, становятся все изобретательней. Теперь они нашли способ обмануть антиспам-расширения и запускать JavaScript-майнер Coinhive через рекламу в браузере.

Специалисты лаборатории Netlab 360 компании Qihoo недавно обнаружили сеть, применяющую так называемый алгоритм генерации доменов (domain generation algorithms, DGA), позволяющий обходить блокировщики рекламы и показывать пользователю объявления, ссылающиеся на лендинг-страницы с майнером.

Название системы не раскрывается, в отчете она фигурирует под кодовым именем DGA.popad. Однако эксперты утверждают, что уже в 2017 году ее владельцы прибегали к этому механизму.

“В декабре 2017 года они снова подняли планку: мы начали замечать, что сгенерированные домены участвуют в криптоджекинге, причем конечный пользователь об этом не знает”, — пишет Чжан Цзайфэн (Zhang Zaifeng), сотрудник Netlab 360.

Алгоритм создает домены с такой частотой, что к моменту, когда блокировщик опознает один из них как источник рекламы, его успевает сменить новый.

“В противоборстве между компаниями, организующими рекламные сети, и разработчиками плагинов-блокировщиков нет ничего удивительного, но вот на то, что первые участвуют в майнинге и используют для этого DGA-домены, стоит обратить внимание”, — отметил Цзайфэн.

Скрипт Coinhive часто применяют злоумышленники, внедряющие его на сайты без ведома их владельцев и добывающие криптовалюту Monero за счет вычислительных мощностей компьютеров, планшетов и телефонов посетителей.

Жертва недобросовестной рекламы, обнаруженной Netlab 360, попадает на страницу с объявлениями, перенаправляющими ее в домен popad[.]net, содержащий JavaScript-майнер. Защитное расширение, если оно работает в браузере пользователя, блокирует этот домен. Тогда в дело включается внедренный злоумышленником механизм, заменяющий его на один из новых доменов, сгенерированных с помощью DGA. В результате пользователю удается открыть страницу, содержащую Coinhive.

“Для проверки мы решили зайти на один из этих сайтов, и загруженность процессора сразу взлетела до 100%”, — утверждает Цзайфэн.

ad-network-crypto

Хотя прибыль мошенников неизвестна, в Netlab 360 считают, что жертвой криптоджекинга могли стать многие, тем более что некоторые из доменов DGA.popad попали в список 2000 самых посещаемых сайтов по версии Alexa.

По данным лаборатории, рекламные объявления с обходом блокировки демонстрируются в основном на порносайтах и других страницах, часто используемых злоумышленниками в качестве приманки.

Криптоджекинг в последний год набирает популярность — например, в середине февраля исследователи обнаружили в коде тысяч правительственных сайтов майнер, который скрытно использовал процессоры устройств посетителей для добычи криптовалюты Monero.

“Криптоджекинг никуда не денется, — рассказал Threatpost Трой Мерш (Troy Mursch), исследователь из Bad Packets Report. — Он будет постоянно всплывать. А у посетителей пораженных сайтов остается неприятный осадок”.

Категории: Аналитика, Мошенничество