Лоуренс Абрамс (Lawrence Abrams) — ИБ-исследователь с сайта Bleeping Computer — обнаружил первое вредоносное расширение для Firefox. Утилита Image Previewer распространяется через фальшивые сайты с обновлениями браузера и запускает майнер Monero на компьютере жертвы.

Чтобы попасть в список расширений, зловред бомбардирует пользователя JavaScript-уведомлениями о необходимости установить последнюю версию браузера. Получив согласие, он скачивает JS-файл с сайта http://searchye.tools/cfg/cnt[.]json, а затем начинает показывать рекламу и всплывающие уведомления.

После этого Image Previewer загружает код самого майнера, прописанного в файле xmr.main.min.js. Во время работы зловред отбирает у процессора 50% вычислительной мощности.

Абрамс советует удалить плагин вручную через меню управления дополнениями.

До Firefox пристанищем веб-майнеров был Google Chrome — к примеру, расширение Ldi также принуждало жертв к установке через постоянные уведомления, а затем запускало криптомайнер. Кроме того, оно регистрировало сайты на украденные адреса электронной почты — до четырех на один ящик. Предполагается, что автор Ldi готовил базу для распространения зловреда или фишинговых рассылок.

Тем не менее, владельцы некоторых сайтов добровольно внедряют майнеры в код страниц и дают посетителям выбор: либо смотреть рекламу, либо пожертвовать часть вычислительной мощности на генерацию криптовалюты — чаще всего, Monero. Так, торрент-трекер Pirate Bay испытал такой сценарий в сентябре прошлого года.

Категории: Вредоносные программы