Специалисты по информационной безопасности обращают внимание на растущую популярность криптоджекинга (cryptojacking) — незаметного майнинга криптовалюты на компьютерах посетителей сайтов. Вы заходите на какой-то сайт, ноутбук начинает слегка нагреваться и гудеть. Ничего страшного, зато владельцы получат какую-то копеечку: такая в своём роде микротранзакция.
В такой бизнес-модели микроплатежей не было бы ничего предосудительного, если бы не два факта. Во-первых, посетителей не уведомляют о майнинге, так что использование вычислительных ресурсов компьютера происходит без ведома хозяина. Во-вторых, в абсолютном большинстве случаев майнинг происходит, судя по всему, даже без ведома владельцев самого сайта.
На сегодняшний день скрипт самого популярного сервиса для криптоджекинга Coinhive установлен на 2496 сайтах электронной коммерции.
Как показало исследование Виллема де Грота, в 80% случаев на этих сайтах установлен не только скрипт Coinhive, но также различные зловреды для скимминга — копирования реквизитов банковских платёжных карт клиентов магазинов.
Злоумышленникам мало украсть банковскую карту, они хотят ещё и немного помайнить на компьютере. Буквально выжимают из жертвы всё до последней копейки, точнее, до последней монеты Monero, поскольку Coinhive майнит именно эту криптовалюту.
Среди заражённых сайтов есть довольно популярные ресурсы. Например, официальное представительство автопроизводителя Subaru в Австралии — магазин shop.subaru.com.au.
Виллем де Грот выяснил, что бoльшую часть из этих 2496 скриптов установили всего несколько злоумышленников. Дело в том, что у каждого пользователя Coinhive есть уникальный идентификатор, на который начисляются намайненные средства. Так вот, 85% скриптов связаны всего с двумя идентификаторами Coinhive. Остальные 15% распределены между большим количеством других ID. Однако во всей этой группе с разными ID ссылки одинаковым образом помечены названием сайта. То есть можно предположить, что эти 15% тоже созданы одним человеком или группой. Другими словами, все заражения интернет-магазинов произведены тремя группами злоумышленников.
Специалист отмечает, что в некоторых злучаях криптомайнер хорошо спрятан в коде страниц. Хотя некоторые сайты содержат ссылку на официальный файл coinhive.js, другие пытаются скрыться. Здесь майнинг происходит через встроенный фрейм, который подгружает содержимое siteverification.online. Этот сайт демонстрирует стандартную страницу инсталляции дистрибутива Debian, но всё равно содержит криптомайнер. Другие встроенные фреймы подгружают содержимое с сайта, который выдаёт себя за страницу Sucuri Firewall.
Как уже неоднократно говорилось ранее, чтобы защититься от криптомайнера, следует установить в браузере плагин для блокировки рекламы или прописать в файле hosts запрет серверов Coinhive.
127.0.0.1 coin-hive.com coinhive.com
Но в любом случае особо опасаться нечего. Криптоджекинг — вполне безобидный вид киберпреступности, который не наносит особого ущерба. Даже если оставить страничку с майнером открытой на целый месяц, то ваш счёт за электричество вырастет всего лишь на несколько сотен рублей. Собственно, такие криптомайнеры ненамного вреднее анимационных flash-баннеров, которые тоже неслабо нагружают центральный процессор.
По подсчётам Trustwave, за сутки работы скрипта Coinhive средний компьютер потребляет на 1212 Втч больше электричества, чем обычно. За месяц выходит 36,36 кВтч. По московским тарифам (5,38 руб/кВтч) получается 195 рублей 62 копейки. В принципе, не так уж и мало, но вряд ли кто-то оставит открытой вкладку с криптомайнером на целый месяц. Да и не у всех тарифы на электричество такие высокие, как в Москве.
Можно предположить, что сервисом Coinhive вообще никто не пользуется по доброй воле. Но нет, всё-таки есть сайты, которые устанавливают у себя майнер и даже открыто сообщают об этом пользователям (причём дают каждому пользователю возможность выбрать, сколько именно хэшей позволено рассчитать на своём процессоре). Но таких сайтов считанные единицы. Большинство майнеров всё-таки устанавливаются злоумышленниками.
Майнинг Monero на Mac Book Air даёт примерно 25 хэшей/с, майнинг на обычном настольном компьютере — примерно 80 хэшей/с, на смартфоне OnePlus 3t — примерно 12 хэшей/с, так что очень много денег злоумышленники всё равно не заработают (см. калькулятор майнинга Monero), тем более что Coinhive забирает себе 30% монет.
Впрочем, бизнес может и приносить хорошую прибль, если удаётся заразить миллионы смартфонов. Хотя там скорость майнинга в несколько раз меньше, но зато есть возможность запустить его надолго. Недавно специалисты компании Ixia нашли в каталоге Google Play два популярных приложения со встроенными криптомайнерами. У них в общей сложности от 6 млн до 15 млн скачиваний.
Специалисты изучили код одного из заражённых приложений («Сканворд») и определили имя пользователя, на чей счёт зачисляются монеты в майнинг-пуле (некий «ОХОТНИК») и даже нашли некоторые его сообщения на форумах. Этот же разработчик выложил в Google Play другое заражённое приложение Puzzle (English Book), у которого тоже миллионы скачиваний.