Специалисты по информационной безопасности обращают внимание на растущую популярность криптоджекинга (cryptojacking) — незаметного майнинга криптовалюты на компьютерах посетителей сайтов. Вы заходите на какой-то сайт, ноутбук начинает слегка нагреваться и гудеть. Ничего страшного, зато владельцы получат какую-то копеечку: такая в своём роде микротранзакция.
В такой бизнес-модели микроплатежей не было бы ничего предосудительного, если бы не два факта. Во-первых, посетителей не уведомляют о майнинге, так что использование вычислительных ресурсов компьютера происходит без ведома хозяина. Во-вторых, в абсолютном большинстве случаев майнинг происходит, судя по всему, даже без ведома владельцев самого сайта.
На сегодняшний день скрипт самого популярного сервиса для криптоджекинга Coinhive установлен на 2496 сайтах электронной коммерции.
Как показало исследование Виллема де Грота, в 80% случаев на этих сайтах установлен не только скрипт Coinhive, но также различные зловреды для скимминга — копирования реквизитов банковских платёжных карт клиентов магазинов.
Злоумышленникам мало украсть банковскую карту, они хотят ещё и немного помайнить на компьютере. Буквально выжимают из жертвы всё до последней копейки, точнее, до последней монеты Monero, поскольку Coinhive майнит именно эту криптовалюту.
Среди заражённых сайтов есть довольно популярные ресурсы. Например, официальное представительство автопроизводителя Subaru в Австралии — магазин shop.subaru.com.au.
Виллем де Грот выяснил, что бoльшую часть из этих 2496 скриптов установили всего несколько злоумышленников. Дело в том, что у каждого пользователя Coinhive есть уникальный идентификатор, на который начисляются намайненные средства. Так вот, 85% скриптов связаны всего с двумя идентификаторами Coinhive. Остальные 15% распределены между большим количеством других ID. Однако во всей этой группе с разными ID ссылки одинаковым образом помечены названием сайта. То есть можно предположить, что эти 15% тоже созданы одним человеком или группой. Другими словами, все заражения интернет-магазинов произведены тремя группами злоумышленников.
Специалист отмечает, что в некоторых случаях криптомайнер хорошо спрятан в коде страниц. Хотя некоторые сайты содержат ссылку на официальный файл coinhive.js, другие пытаются скрыться. Здесь майнинг происходит через встроенный фрейм, который подгружает содержимое siteverification.online. Этот сайт демонстрирует стандартную страницу инсталляции дистрибутива Debian, но всё равно содержит криптомайнер. Другие встроенные фреймы подгружают содержимое с сайта, который выдаёт себя за страницу Sucuri Firewall.
Как уже неоднократно говорилось ранее, чтобы защититься от криптомайнера, следует установить в браузере плагин для блокировки рекламы или прописать в файле hosts запрет серверов Coinhive.
127.0.0.1 coin-hive.com coinhive.comНо в любом случае особо опасаться нечего. Криптоджекинг — вполне безобидный вид киберпреступности, который не наносит особого ущерба. Даже если оставить страничку с майнером открытой на целый месяц, то счёт за электричество вырастет разве что на пару сотен рублей. Собственно, такие криптомайнеры ненамного вреднее анимационных flash-баннеров, которые тоже неслабо нагружают центральный процессор.
По подсчётам Trustwave, за сутки работы скрипта Coinhive средний компьютер потребляет на 1212 Втч больше электричества, чем обычно. За месяц выходит 36,36 кВтч. По московским тарифам (5,38 руб/кВтч) получается 195 рублей 62 копейки. В принципе, не так уж и мало, но вряд ли кто-то оставит открытой вкладку с криптомайнером на целый месяц. Да и не у всех тарифы на электричество такие высокие, как в Москве.
Можно предположить, что сервисом Coinhive вообще никто не пользуется по доброй воле. Но нет, всё-таки есть сайты, которые устанавливают у себя майнер и даже открыто сообщают об этом пользователям (причём дают каждому пользователю возможность выбрать, сколько именно хэшей позволено рассчитать на своём процессоре). Но таких сайтов считанные единицы. Большинство майнеров всё-таки устанавливаются злоумышленниками.
Майнинг Monero на Mac Book Air даёт примерно 25 хэшей/с, майнинг на обычном настольном компьютере — примерно 80 хэшей/с, на смартфоне OnePlus 3t — примерно 12 хэшей/с, так что очень много денег злоумышленники всё равно не заработают (см. калькулятор майнинга Monero), тем более что Coinhive забирает себе 30% монет.
Впрочем, бизнес может и приносить хорошую прибыль, если удаётся заразить миллионы смартфонов. Хотя там скорость майнинга в несколько раз меньше, но зато есть возможность запустить его надолго. Недавно специалисты компании Ixia нашли в каталоге Google Play два популярных приложения со встроенными криптомайнерами. У них в общей сложности от 6 млн до 15 млн скачиваний.
Специалисты изучили код одного из заражённых приложений («Сканворд») и определили имя пользователя, на чей счёт зачисляются монеты в майнинг-пуле (некий «ОХОТНИК») и даже нашли некоторые его сообщения на форумах. Этот же разработчик выложил в Google Play другое заражённое приложение Puzzle (English Book), у которого тоже миллионы скачиваний.
Комментарии (63)
webviktor
09.11.2017 16:30Интересно, как будет распределяться нагрузка, если одновременно открыть две вкладки с разными сайтами, на который встроены майнеры.
И кстати, я так понимаю, использование этими майнерами видеокарт, вопрос лишь времени.
fireSparrow
09.11.2017 17:24Я мало знаком с технологиями фронтенда, поэтому, возможно, мой вопрос глупый.
Но разве внутрибраузерный js может выполнять вычисления с использованием видеокарты?
alexoron
09.11.2017 21:20На все 100% это точно.
Можете даже скачать какой-то майнер и установить предел использования 80%.
Запустив же второй майнер, увидите полную загрузку CPU.
Только что взял кусок CoinHive:
this._throttle=Math.max(0,Math.min(.99,this.params.throttle||0)); означает использование процессора на 99%.
Другая строчка:
var defaultThreads=navigator.hardwareConcurrency||4; По умолчанию 4 потока
Еще скрипт грузит дополнительные библиотеки (некоторые функции отсутствуют в скрипте):
self.CoinHive.CONFIG={LIB_URL:\"https:\/\/coinhive.com\/lib\/\",ASMJS_NAME:\"cryptonight-asmjs.min.js\",REQUIRES_AUTH:false,WEBSOCKET_SHARDS:[[\"wss:\/\/ws001.coinhive.com\/proxy\",\"wss:\/\/ws002.coinhive.com\/proxy\",\"wss:\/\/ws003.coinhive.com\/proxy\",\"wss:\/\/ws004.coinhive.com\/proxy\",\"wss:\/\/ws005.coinhive.com\/proxy\",\"wss:\/\/ws006.coinhive.com\/proxy\",\"wss:\/\/ws007.coinhive.com\/proxy\",\"wss:\/\/ws029.coinhive.com\/proxy\"],[\"wss:\/\/ws008.coinhive.com\/proxy\",\"wss:\/\/ws009.coinhive.com\/proxy\",\"wss:\/\/ws010.coinhive.com\/proxy\",\"wss:\/\/ws011.coinhive.com\/proxy\",\"wss:\/\/ws012.coinhive.com\/proxy\",\"wss:\/\/ws013.coinhive.com\/proxy\",\"wss:\/\/ws014.coinhive.com\/proxy\",\"wss:\/\/ws030.coinhive.com\/proxy\"],[\"wss:\/\/ws015.coinhive.com\/proxy\",\"wss:\/\/ws016.coinhive.com\/proxy\",\"wss:\/\/ws017.coinhive.com\/proxy\",\"wss:\/\/ws018.coinhive.com\/proxy\",\"wss:\/\/ws019.coinhive.com\/proxy\",\"wss:\/\/ws020.coinhive.com\/proxy\",\"wss:\/\/ws021.coinhive.com\/proxy\",\"wss:\/\/ws031.coinhive.com\/proxy\"],[\"wss:\/\/ws022.coinhive.com\/proxy\",\"wss:\/\/ws023.coinhive.com\/proxy\",\"wss:\/\/ws024.coinhive.com\/proxy\",\"wss:\/\/ws025.coinhive.com\/proxy\",\"wss:\/\/ws026.coinhive.com\/proxy\",\"wss:\/\/ws027.coinhive.com\/proxy\",\"wss:\/\/ws028.coinhive.com\/proxy\",\"wss:\/\/ws032.coinhive.com\/proxy\"]],CAPTCHA_URL:\"https:\/\/coinhive.com\/captcha\/\",MINER_URL:\"https:\/\/coinhive.com\/media\/miner.html\",AUTH_URL:\"https:\/\/authedmine.com\/authenticate.html\"};
Ах да, встроенный в Windows 10 антивирусник Defender блокирует файл CoinHive.js. Пришлось добавлять в исключение чтобы открыть.
Golden_Duke
09.11.2017 16:58Ничего страшного, зато владельцы получат какую-то копеечку: такая в своём роде микротранзакция.
Это все равно что незаметно залезть в карман к прохожему и достать оттуда пару завалявшихся монеток. Ничего страшного, прохожий не обеднеет, зато вор получит какую-то копеечку: такая в своём роде микротранзакция.CooleR_024
09.11.2017 19:22Не совсем корректное сравнение. Скорее, как залезть в карман, вытащить катушку ниток, применить часть в своём бизнесе по ремонту одежды/обуви, а потом вернуть оставшееся.
Посетитель ведь не отпиливает кусок своего устройства, а после закрытия вкладки/приложения с майнером может пользоваться девайсом в полной мере.
Хотя всё равно нечестно, разумеется.Golden_Duke
09.11.2017 20:45применить часть в своём бизнесе по ремонту одежды/обуви, а потом вернуть оставшееся.
Вернуть оставшееся, то есть не всё.
В любом случае, пользователь теряет время (меньше производительность — дольше загрузка), деньги (повышенное потребление электричества), ресурс оборудования (при повышенных нагрузках оно больше изнашивается). Пусть сколь угодно мелкое, но воровство остаётся воровством.
Temtaime
10.11.2017 10:56Некоторые сайты с флешем жрут столько же ресурсов и никто не жалуется.
Не вижу в этом ничего плохого.
Вас же не заставляют заходить на подобные сайты, верно?
sumanai
11.11.2017 01:37Некоторые сайты с флешем жрут столько же ресурсов и никто не жалуется.
Прямо таки никто? Впрочем я флеш вообще удалил, и тормоза были одной из причин этого, хоть и не главной.
Cedric
09.11.2017 17:14Непочищеный ноутбук не долго проработает в таком режиме, а после года работы таких более 90 процентов.
AndreyYu
09.11.2017 17:43Сам попался на подобное буквально на днях.
Заметил в Chrome в диспетчере задач, что существует некий субфрейм сайта хттпс://hanstrackr.ком, периодически отъедающий до 12% ресурсов процессора.
После недолгих вычислений нашелся плагин Flatbook, который занимался подобным вредительством и давным давно установлен в браузере. Сколько времени работала майнилка не известно.
Будьте внимательны.
ЗЫ: Сейчас обнаружил, что плагина уже нет в магазине goo.gl/RclEX1, хотя бодро висел в магазине довольно долго.
Fagot63
09.11.2017 18:03У меня очень удобно настроено охлаждение. Если нагрузки нет(браузер с 20ю вкладками не нагрузка) то большинство вентиляторов стоит и ПК не слышно. Стоит дать заметную нагрузку, сразу же оживают вентиляторы. Ну а в случая запуска тяжелых игр уже раскручиваются по полной. Плагины и сайты так быстро вычислились.
nehrung
09.11.2017 20:19Конечно, за нагрузкой процессора можно следить и через температуру, или через изредка открываемый Диспетчер задач. Но я давно уже поставил себе на Рабочий стол виджет, показывающий текущую нагрузку проца (в т.ч. и график), и краем глаза туда заглядываю. Очень удобно, рекомендую.
Goodkat
09.11.2017 22:54Зачем виджет, если встроенный диспетчер задач показывает нагрузку, а по клику и историю?
nehrung
09.11.2017 23:47Затем, что его вызывать надо, а эта штука постоянно перед глазами. Если что из Сети зацепится, я сразу это замечу.
Goodkat
10.11.2017 03:30Он же в автозапуске всегда, «вызывать» его надо один раз, после первого логина в ОС.
nehrung
10.11.2017 18:50Свой список автозапуска я всегда тщательно редактирую, и в моём списке Диспетчера задач нет — вызываю его на «три любимых клавиши», когда появляется нужда.
Да и излишне функционален он, чтобы держать его постоянно перед глазами. Если он у вас в автозапуске, то получается, он и является для вас таким же виджетом, только более монструозным.Goodkat
12.11.2017 16:27таким же виджетом, только более монструозным.
Иконка в трее в винде или в доке на маке — это монструозно?nehrung
12.11.2017 17:51Иконка — не слишком, а вот сам процесс стрельбы из пушек по воробьям — да. Хотя ныне, при избытке вычислительных мощностей даже не в разы, а на порядки, это может быть привычным делом.
haired
10.11.2017 09:10Флатбук как-то стремительно скатился от вполне приличного фейслифтинга ФБ, до бесполезной панельки с новостями и к криптомайнеру в итоге. «101 совет, как похерить хорошее начинание».
read2only
09.11.2017 18:00Скоро по пальцам будем пересчитывать ресурсы без криптоджекинга…
VaalKIA
10.11.2017 01:23Нет, наборот, будет понятно на каких сайтах не следует светить свои данные и производить оплату: подскочила загрузка проца, значит инфицированный сайт. Иконку в трей вывести не сложно, она у меня и так там всегда висит. Так что пусть заражают.
sumanai
09.11.2017 18:05По подсчётам Trustwave, за сутки работы скрипта Coinhive средний компьютер потребляет на 1212 Втч больше электричества, чем обычно. За месяц выходит 36,36 кВтч. По московским тарифам (5,38 руб/кВтч) получается 195 рублей 62 копейки.
Интересно, сколько за это время майнится монеты и сколько она стоит. Хотя бы два рубля выйдет?Arris
10.11.2017 07:19Там же калькулятор есть ;)
Если я все правильно понял — 330 рублей в месяц. Офигенная прибыль!sumanai
11.11.2017 01:40330 рублей это со скольки? Я хотел бы узнать сумму, которую принесёт сайту один пользователь.
Arris
11.11.2017 09:04Это месяц непрерывного майнинга на одном компе.
~45 копеек за час. Сами посчитайте, сколько пользователь проводит времени на сайте и помножте на аудиторию сайта.
Пусть это интернет-магазин. Не знаю, кто как, а у меня больше 10 минут на интернет-магазин не уходит. Это 7 копеек.
Если у вас 10000 посетителей — то оно конечно верно, +700 рублей. Но я думаю, посетителей там ну сотня в день. +7 рублей в сутки. Офигеть какая прибыль.InterceptorTSK
11.11.2017 13:17Расширьте мысль! Проявите размах — это же здорово)
Берете кучу дурачьков и втюхиваете им «гениальную» мысль о всеобщем равенстве и братстве, о божественной и неподконтрольной никому и абсолютно честной криптовалюте и прочий любой бред на выбор)) Тем более, если у Вас много фантиков «на стартануть», да и «конгресс» «одобрил» — так вообще все прекрасно… Дурачьки купят САМИ все что нужно, Вам же отнесут за это денег, САМИ украдут у себя электроэнергию в массовых масштабах, САМИ сделают любую инфраструктуру какая Вам нужна, причем это очень легко регулировать — и ВЫ ЗАИМЕЕТЕ ЛЮБЫЕ ВЫЧИСЛИТЕЛЬНЫЕ МОЩНОСТИ КАКИЕ ПОЖЕЛАЕТЕ АБСОЛЮТНО ДАРОМ)
ГЕНИАЛЬНО!
bro-dev
09.11.2017 18:12конкретно сoinhive не делает это незаметно, первый раз всплывает модалка с разрешением.
dmitry_dvm
09.11.2017 18:12Ладно еще если сайты типа википедии, которые некоммерческие/без рекламы так будут зарабатывать, но интернет-магазины! Сразу в блек-лист такой магазин.
zemavo
09.11.2017 19:36Очевидно, владельцы магазинов и сами не в курсе этого. Наверное, даже самому захудалой онлайн-забегаловке несколько продаж принесут больше денег, чем месяц майнинга на пользователях.
Band11
09.11.2017 19:58+1в абсолютном большинстве случаев майнинг происходит, судя по всему, даже без ведома владельцев самого сайта
Хотя пользоваться услугами магазина, который так слабо следит за собственной безопасностью в любом случае не стоит.
Tagire
10.11.2017 15:28Большинство ломаные наверное, многие написаны на движках современниках мамонтов, дыры к которым давно известны.
v00v
09.11.2017 19:22На сегодняшний день скрипт самого популярного сервиса для криптоджекинга Coinhive установлен на 2496 сайтах электронной коммерции.
По ссылке списка нет. Где-нибудь он есть?
multiexe
09.11.2017 21:44Жадность губит всегда, представ те если какой ни будь умник загрузит CPU на 100% и карта сгорит от перегрева.
read2only
09.11.2017 23:03… карта сгорит от перегрева.
В играх не сгорает, чего ей в данном случае перегреваться? И потом, если длительная нагрузка будет столь велика, вы услышите и шум СО и заметите общее падение производительности.
artyums
09.11.2017 23:58На самом деле подобный майнинг на компьютерах пользователей веб-сайтов может быть отличной альтернативой рекламе на сайтах. На самом деле, если бы меня предупредили или даже дали выбор — смотреть рекламу или майнить, я бы с удовольствием выбрал бы второй вариант.
Мне кажется рано или поздно к тому все придет. Например, тот же YouTube — вместо рекламы перед роликом, пока смотришь целевое видео — майнишь. По-моему это намного лучше, чем тратить время на просмотр рекламы какой-нибудь чепухи.
И да — про AdBlock я знаю и пользуюсь, но создателям некоторых сайтов или блогов на YouTube хочется помогать, благодаря за продукт.VaalKIA
10.11.2017 01:28Не станет, люди будут уходить с сайтов, зная по загрузке проца, что он заражён. Это как реклама в спаме, нормальные люди не станут марать своё имя и напрягать службу поддержки на объяснения что всё норм, нас никто не заразил.
mistergrim
10.11.2017 03:36Ютуб и так жестоко пожирает ресурсы при воспроизведении уже 1080p/60, спасибо ещё только одновременного майнинга не хватало.
Arris
10.11.2017 07:15… «Продаю» идею роскомнадзору: запустить в интернете серию статей на тему «в этом интернете ВИРУС», снять пару передач на тему «как в руках сгорает смартфон от криптомайнинга и к каким жутким ожогам это приводит», «квартира Васи Пупкина сгорела, криминалисты нашли майнинг-ферму. Что это такое и почему это привело к пожару — смотрите в свежем выпуске».
Дальнейший бизнесплан распишу по запросу :)
P.S. Пускай уже делом займутся, а не банят что попало.
fukkit
10.11.2017 08:30Браузерный JS почти доигрался. С робкой надеждой ждём возврата к чистому HTML.
За мобильные же приложения, которые из-за трех копеек выжрут вам батарею в течение 15 минут, я считаю, надо расстреливать уже сейчас.
1MK-Ultra
10.11.2017 09:11Иш ты, расстреливать. Не нравится, не ходи на эти сайты. Между прочим, обычный сёрфинг, тоже нехило садит батарею.
MurzikFreeman
10.11.2017 09:42А эти сайты перед входом на них, честно спрашивают, можно мне у вас тут помайнить или молча выжирают ресурсы? Ишь ты, расстреливаться они не хотят.
InterceptorTSK
10.11.2017 13:58Ждем-ждем — это неизбежно…
По сему вопрос — когда отрубят уже таки js в браузерах, как флеш?) Ну оно рано или поздно произойдет — с флешем нехорошая история вышла — js ровно так же улетит в топку, это всего лишь вопрос времени…
На что переходить предлагаете? Вот в чем вопрос) Таки уже щас пишутся исключительно и только проектики на чистом html+css, и css в общем-то почти хватает прямо щас, причем оно гораздо удобнее, чем скрипты…
И не надо робкой надежды, оно и так все понятно с js-ом уже) Что взлетит в будущем-то?
JerleShannara
10.11.2017 16:32Ничего страшного, говорили они, сто рублей в месяц за свет, говорили они. А то, что ноут/смартфон с 70-100% загрузкой процессора батарею будет высаживать очень шустро, они сказать забыли.
Hazactam
12.11.2017 21:56Скорее семимильными шагами идём к тотальной блокировке рекламы, заодно и этой заразы. Давно у себя AdGuard использую. Очень доволен.
DrZlodberg
MaxKorz
магазин получит больше прибыли от продажи товара, чем за нахождение пользователя на сайте дополнительные 2 минуты
Fagot63
А если вскроется и новость об этом распространится, потеряют они куда больше, чем намайнили.
Arris
То всем плевать, кроме пары-тройки гиков.
HEKOT
Вспоминается эпизод из «Дня Радио»:
— А если кто-нибудь узнает, что ты пьёшь на работе?
— Ну вот ты узнал?
— Да.
— И что?
MTyrz
Они и были/есть сознательно, онлайн-чтение с постраничной разбивкой и прочие <продолжить здесь>, каждое обновление страницы — +просмотр десятка баннеров.
Здесь, как я понимаю, скорее выгодно подольше не обновлять страницу. Трафика будет поменьше, вот и вся разница.
Oplkill
А как же facebook, его уже давно сделали «неудобным»