A cryptojacking egy olyan rosszindulatú tevékenység, amely során egy fertőzött eszközt titokban kriptovaluták bányászatára használnak. Ennek érdekében a támadó kihasználja az áldozat feldolgozási teljesítményét és sávszélességét (a legtöbb esetben az áldozat tudta és beleegyezése nélkül).
Általában az ilyen rosszindulatú tevékenységekért felelős kriptobányászati programokat úgy tervezték, hogy a rendszerből csak annyi erőforrást használjanak fel, hogy a lehető legtovább észrevétlenek maradjanak.
Mivel a kriptobányászat nagy feldolgozási teljesítményt igényel, a támadók több eszközre próbálnak bejutni. Így képesek elegendő számítási erőforrást összegyűjteni ahhoz, hogy alacsony kockázatú és alacsony költségű bányászati tevékenységet folytathassanak.
A rosszindulatú bányászprogramok korábbi verziói attól függtek, hogy az áldozatok rákattintottak-e a rosszindulatú linkekre vagy e-mail mellékletekre, amivel véletlenül megfertőzték a rendszerüket egy rejtett kriptobányász programmal.
Az elmúlt néhány évben azonban egyre kifinomultabb típusú szoftvereket fejlesztettek ki, amelyek teljesen új szintre emelték a cryptojacking tevékenységet.
Manapság a kártékony bányászati programok többsége weboldalakba épített szkripteken keresztül fut. Ezt a megközelítést webes cryptojackingnek hívják.
Webes cryptojacking
Webes cryptojacking (más néven drive-by cryptomining) a kriptobányászati kártevők leggyakoribb formája. Ezt a rosszindulatú tevékenységet jellemzően weboldalakon futó szkripteken keresztül valósítják meg, melyek lehetővé teszik az elkövetők számára, hogy az áldozat böngészőjén keresztül a látogatás időtartama alatt automatikusan kriptovalutákat bányásszanak. Az ilyen webes bányászprogramokat titokban sokféle weboldalon alkalmazzák, népszerűségüktől és kategóriájuktól függetlenül.
A legtöbb esetben a Monero a választott kriptovaluta, mivel a bányászati folyamat nem igényel hatalmas mennyiségű erőforrást és feldolgozási teljesítményt, mint a Bitcoin bányászat. Emellett a Monero nagyobb fokú adatvédelmet és anonimitást biztosít, így a tranzakciókat sokkal nehezebb nyomon követni.
A zsarolóprogramokkal ellentétben a rosszindulatú kriptobányász programok ritkán veszélyeztetik a számítógépet és az azon tárolt adatokat. A cryptojacking leglátványosabb hatása a CPU teljesítményének csökkenése (általában a ventilátor zajának növekedésével jár együtt). A vállalkozások és nagyobb szervezetek számára azonban a csökkent CPU-teljesítmény akadályozhatja a munkát, ami jelentős veszteségeket és elszalasztott lehetőségeket eredményezhet.
CoinHive
A cryptojacking webes megközelítése először 2017 szeptemberében jelent meg, amikor a CoinHive nevű kriptobányászati program hivatalosan is megjelent a nyilvánosság számára. A CoinHive egy JavaScript kriptobányászati program, amelyet állítólag egy nemes cél érdekében hoztak létre: lehetővé tette a webhelyek tulajdonosai számára, hogy bevételt szerezzenek szabadon elérhető tartalmaikkal anélkül, hogy kellemetlen reklámokra kéne támaszkodniuk.
A CoinHive kompatibilis az összes főbb böngészővel, és viszonylag könnyen telepíthető. A létrehozók megtartják a kódjukkal bányászott kriptovaluták 30%-át. Kriptográfiai kulcsok segítségével azonosítják, hogy melyik felhasználói fiók kapja meg a maradék 70%-ot.
Habár kezdetben érdekes eszközként mutatták be, a CoinHive sok kritikát kapott amiatt, hogy a kiberbűnözők rosszindulatú módon arra használják, hogy a bányászprogramot (a tulajdonos tudta és engedélye nélkül) több feltört weboldalba is bejuttassák.
Abban a néhány esetben, amikor a CoinHive szándékosan jó céllal kerül alkalmazásra, a cryptojacking JavaScript egy AuthedMine nevű Opt-In változatként van beállítva, mely a CoinHive egy módosított változata, amely csak a látogató beleegyezését követően kezdi meg a bányászatot.
Nem meglepő módon az AuthedMine-t nem alkalmazzák olyan mértékben, mint a CoinHive-ot. A PublicWWW oldalán végzett gyors keresés azt mutatja, hogy legalább 6400 weboldalon fut a CoinHive (ebből 2810 WordPress-oldal). Ezzel szemben az AuthedMine-t nagyjából 550 weboldal alkalmazza.
2018 első felében a CoinHive lett a vírusirtó programok és a kiberbiztonsági cégek által követett legjelentősebb rosszindulatú program. A legújabb jelentések szerint azonban a cryptojacking már nem a legelterjedtebb fenyegetés, mivel az első és második helyen a banki trójai vírusok és a zsarolóvírus-támadások állnak.
A cryptojacking gyors felemelkedése és bukása összefügghet a kiberbiztonsági cégek munkájával, mivel számos cryptojacking kód ma már feketelistán van, és a legtöbb vírusirtó szoftver hamar felismeri őket. Ráadásul a legújabb elemzések szerint az internetes cryptojacking nem is olyan jövedelmező, mint amilyennek látszik.
Cryptojacking példák
2017 decemberében egy ügyfél jelentése szerint a CoinHive kódot titokban beépítették több Buenos Aires-i Starbucks üzlet WiFi hálózatába. A szkript Monero-t bányászott a hozzá csatlakoztatott eszközök feldolgozási teljesítményén keresztül.
2018 elején a CoinHive bányászprogramról kiderült, hogy YouTube hirdetéseken fut a Google DoubleClick platformján keresztül.
2018 júliusában és augusztusában egy cryptojacking támadás több mint 200 000 MikroTik routert fertőzött meg Brazíliában, és hatalmas mennyiségű webes adatforgalomba juttatott CoinHive kódot.
Hogyan lehet észlelni és megelőzni a cryptojacking támadásokat?
Ha gyanakszik, hogy a processzora a szokásosnál jobban igénybe van véve, és a ventilátorok indokolatlanul zajosak, akkor jó eséllyel a készülékét kriptobányászatra használják. Fontos megtudni, hogy a számítógépe fertőzött-e, vagy a cryptojacking tevékenységet a böngészője hajtja végre.
Míg a webes cryptojacking tevékenységet viszonylag könnyű észrevenni és megállítani, a számítógépes rendszereket és hálózatokat célzó rosszindulatú bányászati programokat nem mindig könnyű felismerni, mivel ezeket általában rejtettnek tervezik vagy legitimnek álcázzák.
Vannak olyan böngészőbővítmények, amelyek hatékonyan képesek megakadályozni a legtöbb webes cryptojacking támadást. Amellett, hogy ezek a biztonsági intézkedések a webes bányászprogramokra korlátozódnak, általában egy fix feketelistán alapulnak, mely gyorsan elavulttá válhat, ahogy új cryptojacking módszerek jelennek meg. Ezért is javasoljuk, hogy tartsa naprakészen operációs rendszerét, és használjon frissített vírusirtó szoftvereket is.
Ha vállalkozásokról és nagyobb szervezetekről van szó, fontos, hogy tájékoztassák és oktassák a munkavállalókat a cryptojacking és adathalász technikákról, például a csalárd e-mailekről és a hamis webhelyekről.
Összegzés
Figyelje az eszköze teljesítményét és a CPU tevékenységeit.
Telepítsen olyan böngészőbővítményeket, mint például a MinerBlock, NoCoin és az Adblocker.
Legyen óvatos az e-mail mellékletekkel és hivatkozásokkal.
Telepítsen egy megbízható vírusirtót, és tartsa naprakészen szoftvereit és operációs rendszerét.
Vállalkozások számára: tájékoztassa munkavállalóit a cryptojacking és az adathalász technikákról.