По данным Bleeping Computer, ИБ-исследователи обнаружили веб-сайт, использующий новый способ маскировать работу встроенного в браузер майнера криптовалют. Оператор страницы использует небольшое всплывающее окно, которое прячется за панелью задач Windows. Таким образом, даже при закрытии основного окна браузера майнер продолжит работать в отдельном фрейме, незаметном пользователю.

Владельцы портала для взрослых использовали код JavaScript, чтобы динамически задавать размер всплывающего окна — исследователи выяснили, что его размер составляет 100х40 пикселей. Такой незаметный фрейм легко «спрячется» за панель задач Window, и в нем злоумышленники запускают JS-код — особую версию скрытого майнера Coinhive. Последний использует вычислительные ресурсы компьютера для генерации криптовалюты и делится полученной прибылью с владельцами сайта.

Майнер старается не работать в полную силу, чтобы не вызвать подозрений. Пользователю весьма трудно заметить скрытое окно, а высокую активность процессора можно увидеть только в диспетчере задач. Но если пользователь выявил работу майнера, его можно закрыть, сняв соответствующую задачу в диспетчере.

Пока исследователи заметили данную технику только на одном сайте и только при использовании Google Chrome.

У пользователей весьма неоднозначное отношение к Coinhive: с одной стороны, многие не против заменить рекламу майнингом в фоновом режиме, но некоторым претит эта идея. В любом случае антивирусы воспринимают подобные программы как вредоносное ПО и блокируют их.

Разработчики сделали шаг навстречу пользователям и выпустили майнер AuthedMine, который запускается только с их согласия, — но Coinhive, хотя и призвал к осознанному переходу на AuthedMine, оставил старый скрипт в действии, и владельцы сайтов могут использовать любой майнер по своему усмотрению, чем пользуются недобросовестные ресурсы. По этим причинам, например, в начале 2010-х годов власти США заблокировали похожий сервис TidBit, разработанный студентами MIT.

Категории: Вредоносные программы, Главное, Мошенничество