Злоумышленники, добывающие криптовалюту за счет пользователей, научились обходить блокировку скрипта Coinhive. Эксперты ИБ обнаружили серию атак с применением генератора коротких ссылок, который майнит токены во время загрузки интернет-страниц.

Сервис Coinhive позволяет посетителям сайтов предоставлять ресурсы своего компьютера для получения криптовалюты. Веб-администраторы используют его, чтобы монетизировать ресурсы без размещения рекламы.

По информации из открытых источников, на текущий момент скрипт размещен почти на 18 тыс. сайтов. Злоумышленники, в свою очередь, используют майнер, чтобы скрытно эксплуатировать вычислительные мощности пользователей (так называемый криптоджекинг).

Администраторы сайтов стремятся защитить посетителей от подобных манипуляций, блокируя майнер на уровне кода. Схожие функции есть у современных систем для защиты веб-приложений. Однако начиная с мая ИБ-специалисты стали замечать атаки с использованием другого продукта Coinhive, который пока не попал под запрет — генератора коротких ссылок cnhv[.]co.

Этот сервис майнит криптовалюту, пока интернет-пользователь ждет загрузки страницы. Как и в случае со «старшим братом» — скриптом Coinhive — уменьшитель создан в легальных целях, однако злоумышленники встраивают его во взломанные сайты без ведома их владельцев.

Для этого они создают iframe размером 1х1 пиксель, где и размещают обфусцированный вредоносный URL. Столь малый размер позволяет мгновенно загружать элемент, не вызывая подозрений пользователя. Майнинг начинается сразу при открытии страницы.

Разработчики Coinhive предусмотрели для администраторов возможность настраивать длительность работы скрипта. Мошенники выставляют этот параметр на максимум, продлевая эксплуатацию пользовательских ресурсов в 3625 раз по сравнению с предусмотренным по умолчанию временем. По словам изучавших вредонос ИБ-специалистов, столь длительный период фактически стремится к бесконечности. Более того, на случай, если задача все же будет выполнена, преступники прописали в коде обновление страницы, что запустит процесс заново.

Жертвы подобных атак сталкиваются с теми же угрозами, что и при традиционном фишинге с помощью сокращенных URL — злоумышленник может скрыть пункт назначения при клике на ссылку. Многие пользователи устанавливают плагины, которые показывают целевую страницу при наведении мыши на короткий адрес. Однако эти средства не работают с cnhv[.]co. Эксперты обнаружили случаи, когда злоумышленники в ходе рассматриваемых кампаний заражали пользователей вредоносным ПО или устанавливали майнеры на взломанные веб-серверы.

По данным открытых источников, на текущий момент атака на базе коротких URL охватывает более 300 сайтов. На всех этих площадках размещена одинаковая ссылка cnhv[.]co. По словам ИБ-аналитиков, некоторые из данных ресурсов также размещают у себя невидимый iframe умышленно, чтобы скрытно заработать на своих посетителях.

Ранее СМИ сообщили о первом в истории Японии судебном приговоре в отношении криптоджекера. Злоумышленник внедрял скрипт Coinhive в читерское ПО для онлайн-игры.

Категории: Вредоносные программы, Мошенничество