Криптоджакингът е злонамерена дейност, при която заразено устройство се използва за тайно копаене на криптовалути. За да направи това, нападателят използва процесорната мощност и честотната лента на жертвите (в повечето случаи това се прави без тяхното знание или съгласие).
Като цяло злонамереният софтуер за копаене на криптовалута, отговорен за такива злонамерени дейности, е проектиран да използва достатъчно системни ресурси, за да остане незабелязан възможно най-дълго.
Тъй като копаенето на криптовалута изисква много процесорна мощност, нападателите се опитват да проникнат в множество устройства. По този начин те са в състояние да съберат достатъчно изчислителни ресурси, за да извършват нискорискова и евтина дейност за копаене.
По-ранните версии на зловреден софтуер за копаене зависеха от това жертвите да щракат върху злонамерени връзки или прикачени файлове към имейл, които случайно заразяваха системата им със скрит крипто-копач.
През последните няколко години обаче бяха разработени по-сложни типове от този злонамерен софтуер, извеждайки подхода за криптоджакинг на съвсем ново ниво.
В момента по-голямата част от зловреден софтуер за копаене работи чрез скриптове, които са внедрени в уебсайтове. Този подход е известен като уеб-базиран криптоджакинг.
Уеб базиран криптоджакинг
Уеб-базираният криптоджакинг (известен още като drive-by cryptomining) е най-разпространената форма на злонамерен софтуер за копаене на криптовалута. Обикновено тази злонамерена дейност се изпълнява чрез скриптове, които се изпълняват в рамките на уебсайт, позволявайки на браузъра на жертвата автоматично да копае криптовалути по време на посещението. Такива уеб базирани копачи се внедряват тайно в голямо разнообразие от уебсайтове, независимо от популярността или категорията.
В повечето случаи Monero е предпочитаната криптовалута, тъй като нейният процес на копаене не изисква огромни количества ресурси и процесорна мощ, както изисква копаенето на биткойн. Освен това Monero осигурява повишени нива на поверителност и анонимност, което прави трансакциите много по-трудни за проследяване.
За разлика от рансъмуера, злонамереният софтуер за копаене на криптовалута рядко компрометира компютъра и данните, съхранявани в него. Най-забележимият ефект от криптоджакинга е намалената производителност на процесора (обикновено придружена от увеличаване на шума от вентилатора). Въпреки това, за предприятията и по-големите организации, намалената производителност на процесора може да попречи на работата им, което потенциално води до значителни загуби и пропуснати възможности.
CoinHive
Уеб-базираният подход за криптоджакинг беше забелязан за първи път през септември 2017 г., когато крипто-копач, наречен CoinHive, беше официално пуснат за обществеността. CoinHive се състои от крипто копач на JavaScript, за който се твърди, че е създаден, за да служи на благородна кауза: да позволи на собствениците на уебсайтове да монетизират своето свободно достъпно съдържание, без да разчитат на неприятни реклами.
CoinHive е съвместим с всички основни браузъри и е относително лесен за внедряване. Създателите държат 30% от всички криптовалути, добивани чрез техния код. Той използва криптографски ключове, за да идентифицира кой потребителски акаунт трябва да получи останалите 70%.
Въпреки че първоначално беше представен като интересен инструмент, CoinHive получи много критики поради факта, че сега се използва от киберпрестъпници за злонамерено инжектиране на копача в няколко хакнати уебсайта (без знанието или разрешението на собственика).
В малкото случаи, когато CoinHive е умишлено внедрен завинаги, криптоджакинг Java скриптът е конфигуриран като Opt-In версия, наречена AuthedMine, която е модифицирана версия на CoinHive, която започва копаене само след получаване на съгласието на посетителя.
Не е изненадващо, че AuthedMine не се приема в същия мащаб като CoinHive. Бързо търсене в PublicWWW показва, че поне 6400 уебсайта работят с CoinHive (от които 2810 са WordPress страници). От друга страна, AuthedMine е внедрен от приблизително 550 уебсайта.
През първата половина на 2018 г. CoinHive стана водещата заплаха за зловреден софтуер, проследявана от антивирусни програми и компании за киберсигурност. Скорошни доклади обаче показват, че криптоджакингът вече не е най-разпространената заплаха, тъй като първата и втората позиция вече са заети от банкови троянски коне и рансъмуер атаки.
Бързият възход и спад на криптоджакинга може да е свързан с работата на компаниите за киберсигурност, тъй като много кодове за криптоджакинг вече са в черния списък и бързо се откриват от повечето антивирусни програми. Нещо повече, последните анализи показват, че уеб базираният криптоджакинг не е толкова печеливш, колкото изглежда.
Примери за криптоджакинг
През декември 2017 г. кодът CoinHive беше тихо внедрен в WiFi мрежата на множество магазини на Starbucks в Буенос Айрес, както беше съобщено от клиент. Скриптът копаеше Monero чрез процесорната мощност на всяко устройство, което беше свързано с него.
В началото на 2018 г. беше установено, че копачът CoinHive работи с реклами в YouTube чрез платформата DoubleClick на Google.
През юли и август 2018 г. атака за криптоджакинг зарази над 200 000 рутера на MikroTik в Бразилия, инжектирайки код на CoinHive в огромно количество уеб трафик.
Как да открием и предотвратим атаки за криптоджакинг?
Ако подозирате, че вашият процесор се използва повече от нормалното и неговите охлаждащи вентилатори издават шум без видима причина, има вероятност вашето устройство да се използва за копаене на криптовалута. Важно е да разберете дали вашият компютър е заразен или криптоджакингът се извършва от вашия браузър.
Докато уеб-базираният криптоджакинг е относително лесен за откриване и спиране, зловредният софтуер за копаене, който е насочен към компютърни системи и мрежи, невинаги е лесен за откриване, тъй като те обикновено са проектирани да бъдат скрити или маскирани като нещо легитимно.
Има разширения на браузъра, които са в състояние ефективно да предотвратят повечето уеб-базирани атаки с криптоджакинг. Освен че са ограничени до уеб-базирани копачи, тези контрамерки обикновено се основават на статичен черен списък, който може бързо да остарее с внедряването на нови подходи за криптоджакинг. Поради това също се препоръчва да поддържате операционната си система актуална, заедно с актуализиран антивирусен софтуер.
Когато става въпрос за фирми и по-големи организации, важно е да се информират и образоват служителите относно техниките за криптоджакинг и фишинг, като измамни имейли и фалшиви уебсайтове.
Обобщение
Обърнете внимание на производителността на вашето устройство и активността на процесора.
Инсталирайте разширения за уеб браузъри, като MinerBlock, NoCoin и Adblocker.
Бъдете внимателни с прикачени файлове и връзки в имейли.
Инсталирайте надеждна антивирусна програма и поддържайте вашите софтуерни приложения и операционна система актуални.
За фирми: обучете служителите си за техниките за криптоджакинг и фишинг.