Осторожно: майнеры на JavaScript теперь могут быть встроены в рекламу, которую вам показывает YouTube и другие рекламные сети. Об этом сообщили сразу несколько источников.
Первыми сообщили о проблеме в Twitter пользователи, чьи антивирусы способны обнаруживать криптомайнеры.
Атакующие пользовались услугами сервиса Coinhive, который предоставляет возможность использовать публичный JavaScript-код с сайта для майнинга на чужих компьютерах. При этом процессоры пользователей загружались майнером до 80%.
Атака производилась через рекламный сервис Google DoubleClick. По данным компании Trend Micro, за счёт показанной рекламы количество веб-майнеров в сети на некоторое время выросло в три раза. В некоторых случаях пользователям вдобавок к JS-майнеру еще и отображалась реклама фейкового антивируса — и конкретно за это объявление отвечает пользователь Coinhive с ключом h7axC8ytzLJhIxxvIHMeC0Iw0SPoDwCK. Представители Google признали, что подобную рекламу в последнее время действительно регулярно пытаются поставить недобросовестные партнеры, но с ней стараюсь активно бороться, и именно эта вредоносная реклама была удалена всего через два часа после запуска. Однако свидетельства пользователей указывают на то, что реклама показывалась как минимум неделю — согласно данным той же Trend Micro, код майнера активно работал с 18 января.
Идея атаковать YouTube связана с тем, что пользователи проводят на сайте продолжительное время, поэтому в ближайшем будущем можно ожидать подобного и на других сервисах, нацеленных на потребление контента.
Комментарии (38)
Evengard
27.01.2018 15:38+4Вот может мне кто-нибудь объяснить зачем рекламе вообще доступ к js? Если бы рекламные сети вырезали весь js этой проблемы вообще бы не было...
Areso
27.01.2018 17:35+2Интерактивная реклама, с анимацией и фишечками, реагирующая на пользовательский ввод. Типа «подбей врага!», «наведи пушку!», «раздень эльфийку!». За исключением случаев с эльфийкой, переход будет уже почти целевым. Впрочем, с эльфийками тоже попадаются варианты, но они чаще на сайтах 18+.
AllexIn
27.01.2018 21:55Вполне очевидно, что добросовестная реклама не должна этой херней страдать.
Гугл в очередной раз оголил ту часть, которой повернут к пользователям… Эх, а ведь корпорация добра была. :(Areso
27.01.2018 22:29Майнингом или интерактивностью? Согласен, майнинг это абсолютное нет должно быть для Гугла, и я думаю, оно туда затесалось из-за недогляда. А идея интерактивности мне нравится, и я уверен, она нравится маркетологам.
Чтобы гарантированно исключить интерактивную рекламу, надо вставлять только блоки с контекстной рекламой. Возможно (не уверен), в настройках AdSense уже есть опция, которая запрещает рекламу с JS. Если нет, ей стоит появиться в ближайшем будущем)
myxo
27.01.2018 16:53-1Лично мне кажется, что это очень хорошее решение проблемы рекламы в интернете.
Когда-то мы пошли по пути бесплатных доступов к сайтам. Это не хорошо, не плохо, просто так получилось. Действительно, платить каждому сайту не то что дорого, это просто неудобно. Да и доверия первому встречному нет. Поэтому мы пошли по пути рекламы. И, естественно, все её отключают, что вредит как владельцам сайтов, так и в последствии пользователям.
С майнингом же куда проще. От пользователей не требуется давать ни номеров карточек, ни засорять сознание ненужной фигней. Только ресурсы компьютера. Для меня бы было идеально иметь какую-нибудь настройку в браузере «отдавать 10% ресурсов активной вкладке». За что бы мне не показывалась реклама.
Естественно тут тоже есть проблемы. Нужно будет отлавливать недобросовестных майнеров, да и на мобильниках уже не так охота отдавать энергию.
Angerslave
27.01.2018 17:24+2> Лично мне кажется, что это очень хорошее решение проблемы рекламы в интернете.
Реклама в интернете — это проблема? Точно также будут резать скрипты, которые майнят.
ИМХО, майнинг вместо показа рекламы порождает гораздо больше глобальных проблем. Не считая того, что огромные вычислительные ресурсы тратятся впустую, сжигая массу энергии вникуда, сами монеты — слишком волатильны, по сути спекулятивны. И редкие сайты захотят переключиться на такой источник дохода, который сегодня приносит миллионы, а завтра — только делает, что нагружает девайсы юзеров, снижая отзывчивость интерфейса и создавая шум от систем охлаждения, тем самым заставляя их уйти с назойливого сайта.
kaman
27.01.2018 18:29огромные вычислительные ресурсы тратятся впустую, сжигая массу энергии вникуда
Кстати, интересно, почему не слышно заявлений радикальных экологов касаемо сжигания электроэнергии в объемах, сравнимых с нуждами небольшой страны.Angerslave
27.01.2018 18:46Их слышно. Другое дело, что 70% майнится в Китае, где на экологию в целом положили большой и красный.
frostspb
27.01.2018 17:07А если я не вижу рекламу на ютуб, майнер будут работать? У меня вся реклама вырезается расширением.
borovikmotion
27.01.2018 17:14Ютуб не перестает удивлять, из уважения к производителям контента не включаю адблок, частенько проскакивает реклама сайтов по продаже наркотиков, теперь вот майнеры подключились. Интересно что дальше
wladyspb
29.01.2018 11:35Я уважаю производителей контента, но предпочитаю их поддерживать донатами(в случае стримов) или банально лайками\подпиской которые очень ценны для нераскрученных каналов. Также многие контент-мейкеры самостоятельно вставляют в свои ролики качественную рекламу сделанную под заказ, и её приятно посмотреть даже если рекламируемый товар\услуга не нужны.
А набившие оскомину рекламные ролики лайка\зума\других видеоредакторов для школьников — кроме тихой ненависти к людям, не умеющим\не желающим настраивать таргетинг, не вызывают. Когда я захожу в ютуб с телефона, это реально проблема, и я рад, что хотя бы на компе я не вижу всего этого ада)
TechnoMag
27.01.2018 22:14Подвержены ли этому SmartTV? Есть телевизор, с возможностью просмотра YouTube (OperatV), если майнер запустится, то будет сложно понять почему он сильно греется или тормозит, ведь в нем нет системных мониторов.
Areso
27.01.2018 22:31Да, если браузер поддерживает все те инструкции, которые были применены в коде JS
alexoron
28.01.2018 13:00-1Вы все как дети, ей богу.
Значит так, загружается рекламный блок и проверяется оборудование.
Если есть GPU загружается скрипт GPU.JS
иначе загружаем скрипт Coinhive
Вроде библиотека WebMonkeys позволяет распаралелить задания на GPU в том числе и майнинг без WebGL-расширения.
Есть еще одна любопытная JS-бибиотека, turbo.js
Как видите все есть на гитхабе, в открытом доступе.
Неглупому человеку достаточно будет все это обьеденить и «вскормить» наивным пользователям.
Но с другой стороны майнинг быстро себя выдает загруженностью процессора, повышенным шумом, замедлением системы. Да и на процессоре сейчас особо много не намайнишь.
Быстрее всего будут допиливать JS майнинга на видеокартах, имхо.
JediPhilosopher
Какая эффективность у этих майнеров-то? У меня вот монеро майнится на ненужном простаивающем сервере, там выхлоп порядка 0.2 монеты в год. Сколько там будет майниться за несколько минут просмотра ролика, или даже за час-другой просмотра кино? При том что я сомневаюсь что из js можно заиметь доступ к видеокарте, т.е. майнинг будет неэффективным и на процессоре.
alex_blank
> из js можно заиметь доступ к видеокарте
WebGL
domix32
Только майнят все равное через процессор, т.к. контекста по-дефолту нет.
ilyaplot
Monero эффективнее майнить на процессоре
domix32
Выбирать все равно не приходится
Marwin
массы решают… да и у меня вот один проц добывает 60$ в месяц, недавно была сотка… Если брать по полчаса ютуба в день, то месяц можно иметь по одному-двум баксам с человека. Ну и после этого надо считать доходность относительно цены рекламы. Если она плюсовая… ну купи рекламы на миллион баксов — 1.2, например, вернешь обратно — видимо этого им достаточно.
JediPhilosopher
Это что вы такое майните, если не секрет?
Marwin
обычное монеро через найс… а что вас смущает? Это нормальная сумма для текущих курсов и условии, что проц не селерон
Frankenstine
Смущает то, что калькулятор прибыльности на найсхэше говорит что вы привираете :)
Marwin
У меня 2683v3. Можете проверить замеры этого проца на monerobenchmarks.info — на этих процах порядка 600-650 хэшей — это около 2$ в день.
Frankenstine
Дык это серверный проц с 14 ядрами. Который жрёт столько же, сколько современная видяха, которая майнит в два раза больше.
Marwin
ну он всё таки не для майнинга же изначально брался )) просто приятное дополнение в свободное от работы время. Вы бы, кстати, сильно удивились, насколько он мало потребляет относительно своих 14 ядер. Любой шестиядерник от 3930 до 6850 ест больше ввиду лавинообразного роста тепловыделения при заходе за уровень 3,5 ггц на ядро.
Но это всё оффтоп, моя изначальная мысль всё же была в том, что раз рекламу пустили, значит кто-то посчитал что средняя ~~температура по больнице ~~ скорость майнинга среднестатистического компа позволяет окупить стоимость показа рекламного баннера
Frankenstine
Дык юзеры что смотрят рекламу на ютубе, не на ксеонах сидят)
esc
Умножте на миллион мощности их процессоров и там уже будет существенная цифра. Полагаю, что больше, чем стоимость миллиона остаточных (не интересных рекламодателям) показов баннера на youtube.
А количество таких показов на youtube огромное. Миллион в день даже никто не заметит, тут видимо, ребята пожадничали и начали крутить десятки и сотни миллионов в день, расширили аудиторию слишком сильно и на этом спалились.
Если брать мощность в 20 раз меньше, чем на 2683 (о которой писали выше), а средний просмотр баннера — 10 минут, то выходит 650 баксов с милллиона показов можно намайнить. Даже если среднее время и мощность будет в 2 раза меньше, то все равно в районе 130.
Стоимость 1000 бросовых показов будет баксов 20 стоить. Т.е. зазор вполне хороший выходит по цене.
borovikmotion
эффективность маленькая, даже если доход ниже «уровня розетки», то все равно большое количество людей это компенсирует
pae174
У меня на сайте с 5,000-7,000 юников в сутки со средним временем просмотра страницы в 25 секунд получилось примерно 0.001 XMR в сутки.
sergey-b
По известной формуле 5 старушек — рубль.