Криптоджекінг – це шахрайська активність, за якої заражений пристрій використовується для таємного майнінгу криптовалют. Для цього зловмисник використовує обчислювальну потужність та пропускну здатність пристроїв жертв (у більшості випадків це робиться без їхнього відома чи згоди).
Як правило, зловмисне програмне забезпечення для криптомайнінгу, розроблено таким чином, щоб використовувати достатньо системних ресурсів та залишатися непоміченим якомога довше.
Оскільки майнінг криптовалюти потребує великої обчислювальної потужності, зловмисники намагаються зламати кілька пристроїв. Таким чином, вони можуть зібрати достатньо обчислювальних ресурсів для виконання майнінгу з низьким рівнем ризику та низькою вартістю.
Раніше версії зловмисних програм для майнінгу залежали від того, чи натискали жертви на шкідливі посилання або відкривали прикріплені файли в електронних листах, випадково заражаючи свою систему прихованим криптомайнером.
Однак за останні кілька років були розроблені складніші типи цих зловмисних програм, які вивели підхід до криптоджекінгу на абсолютно новий рівень.
Наразі більшість зловмисних програм для майнінгу запускаються через скрипти, вбудовані у вебсайти. Цей підхід відомий як криптоджекінг на вебсайтах.
Криптоджекінг на вебсайтах
Криптоджекінг на вебсайтах (англійською Web-based cryptojacking або Drive-by cryptomining) є найбільш поширеною формою зловмисного програмного забезпечення для криптомайнінгу. Як правило, ця зловмисна активність виконується за допомогою сценаріїв, які виконуються на вебсайті, що дозволяє браузеру жертви автоматично майнити криптовалюти під час відвідування. Такі вебмайнери таємно впроваджуються на різних вебсайтах, незалежно від їхньої популярності або категорії.
У більшості випадків вибирають криптовалюту Monero, оскільки процес її майнінгу не вимагає величезної кількості ресурсів та обчислювальної потужності, як майнінг Bitcoin. Крім того, Monero забезпечує підвищений рівень конфіденційності та анонімності, що значно ускладнює відстеження транзакцій.
На відміну від програм-вимагачів, шкідливе програмне забезпечення для криптомайнінгу рідко ставить під загрозу комп'ютер і дані, що зберігаються на ньому. Найбільш помітним ефектом криптоджекінгу є зниження продуктивності процесора (яке зазвичай супроводжується посиленням шуму вентилятора). Однак для підприємств і великих організацій зниження продуктивності ЦП може ускладнити їхню роботу, що може призвести до значних втрат і втрачених можливостей.
CoinHive
Підхід до криптоджекінгу на вебсайтах вперше був помічений у вересні 2017 року, коли офіційно випустили криптомайнер під назвою CoinHive. CoinHive складається з криптомайнеру на JavaScript, який нібито був створений для шляхетної мети: дозволити власникам вебсайтів монетизувати свій вільно доступний контент, не покладаючись на неприємну рекламу.
CoinHive сумісний з усіма основними браузерами та відносно простий у розгортанні. Творці отримають 30% від всіх криптовалют, здобутих через їхній код. Він використовує криптографічні ключі, щоб визначити, який акаунт користувача повинен отримати решту 70%.
Незважаючи на те, що CoinHive спочатку представлявся як цікавий інструмент, він отримав багато критики через те, що тепер він використовується кіберзлочинцями для зловмисного впровадження майнера на різні зламані вебсайти (без відома або дозволу власника).
У тих небагатьох випадках, коли CoinHive навмисно впроваджується, JavaScript для криптоджекінгу налаштовується як версія Opt-In під назвою AuthedMine, яка є модифікованою версією CoinHive, що починає майнінг тільки після отримання згоди відвідувача.
Не дивно, що AuthedMine не використовується в тому ж масштабі, що й CoinHive. Швидкий пошук на PublicWWW показує, що принаймні 6400 вебсайтів використовують CoinHive (з яких 2810 – сторінки WordPress). З іншого боку, AuthedMine було впроваджено приблизно на 550 вебсайтах.
У першій половині 2018 року CoinHive став головною загрозою у вигляді зловмисного ПЗ, що відстежується антивірусними програмами та компаніями, що займаються кібербезпекою. Однак останні звіти показують, що криптоджекінг більше не є найпоширенішою загрозою, оскільки перше і друге місця тепер займають банківські трояни та атаки програм-вимагачів.
Швидке зростання та падіння криптоджекінгу може бути пов'язане з роботою компаній, що займаються кібербезпекою, оскільки багато кодів криптоджекінгу тепер занесені до чорного списку і швидко виявляються більшістю антивірусних програм. Більше того, недавні аналізи показують, що криптоджекінг на вебсайтах не такий вигідний, як здається.
Приклади криптоджекінгу
У грудні 2017 року код CoinHive був непомітно впроваджений у мережу WiFi кількох магазинів Starbucks у Буенос-Айресі, як повідомив клієнт. Скрипт майнив Monero за рахунок обчислювальної потужності будь-якого підключеного до WiFi пристрою.
На початку 2018 року було виявлено, що майнер CoinHive працює у рекламі на YouTube через платформу Google DoubleClick.
У липні та серпні 2018 року атака криптоджекінгу заразила понад 200 000 маршрутизаторів MikroTik у Бразилії, впровадивши код CoinHive у величезний обсяг вебтрафіку.
Як виявляти та запобігати атакам криптоджекінгу?
Якщо ви підозрюєте, що ваш процесор використовується більше, ніж зазвичай, а його вентилятори охолодження шумлять без реальної причини, швидше за все, ваш пристрій використовується для криптомайнінгу. Важливо з'ясувати, заражений ваш комп’ютер, чи криптоджекінг виконується вашим браузером.
У той час як криптоджекінг на вебсайтах відносно легко виявити і зупинити, шахрайські програми для майнінгу, націлені на комп'ютерні системи та мережі, не завжди легко виявити, оскільки вони зазвичай призначені для приховування чи маскування під щось законне.
Існують розширення для браузера, здатні ефективно запобігати більшості атак криптоджекінгу на вебсайтах. Крім того, що ці заходи протидії обмежені вебмайнерами, вони зазвичай ґрунтуються на статичному чорному списку, який може швидко застаріти в міру розгортання нових підходів до криптоджекінгу. Тому також рекомендується оновлювати операційну систему разом із оновленим антивірусним програмним забезпеченням.
Коли справа доходить до компаній та великих організацій, важливо навчати та інформувати співробітників про методи криптоджекінгу та фішингу, такі як шахрайські електронні листи та підроблені вебсайти.
Висновок
Зверніть увагу на продуктивність пристрою та активність процесора.
Встановіть розширення для веббраузерів, такі як MinerBlock, NoCoin та Adblocker.
Будьте обережні з вкладеннями електронної пошти та посиланнями.
Встановіть надійний антивірус та своєчасно оновлюйте свої програми й операційну систему.
Для компаній: розкажіть своїм співробітникам про методи криптоджекінгу та фішингу.