В   пoслeдниe мeсяцы спeциaлисты aнтивируснoй кoмпaнии ESET обнаруживали JavaScript файлы, очевидно предназначенные для майнинга криптовалют напрямую в   браузере, об   этом сообщается в   блоге экспертов на   habrahabr.ru.

Киберпреступники давно освоили майнинг, однако обычно они устанавливают на   машины жертв вредоносное ПО, либо потенциально нежелательные приложения (PUA).

Однако в   данном случае майнинг производится в   браузере, когда пользователь посещает определенные сайты. Нет необходимости искать уязвимости и/или заражать компьютер   — достаточно браузера с   включенным JavaScript (по   умолчанию в   большинстве браузеров).

По   данным телеметрии ESET, один из   векторов распространения угрозы   — вредоносная реклама (malvertizing). Тип задач с   высокой загрузкой   ЦП блокирует большинство рекламных сетей, так как это снижает качество взаимодействия с   пользователем.

Может показаться, что идея майнинга в   браузере противоречит здравому смыслу, поскольку добыча биткоинов требует высокопроизводительных CPU. Но   авторы веб-майнера выбрали криптовалюты, не   требующие наличия специального оборудования   — проще обеспечить достаточное число компьютеров, «заражая» сайты, а   не   сами машины.

Подобные кампании могут производиться в   любой стране, но   конкретно эта угроза преобладает в   России, Украине и   Беларуси.

Причиной таргетирования, вероятно, стал выбор языка сайтов, в   которые были внедрены скрипты. Большинство из   них находится в   зоне .ru, но   есть и   один из   зоны .by.

Основной способ распространения майнинговых скриптов   — вредоносная реклама. В   его основе покупка трафика у   рекламной сети и   распространение вредоносного скрипта вместо обычной рекламы.

Основные сайты, предоставлявшие трафик для майнинговых скриптов в   течение июля 2017, показаны на   рисунке ниже:

В   компании обратили внимание, что здесь преобладают сайты с   потоковым видео или браузерными играми. В   этом есть смысл, так как пользователи склонны проводить время на   одной и   той   же странице. Кроме того, у   таких страниц ожидаемо высокая загрузка ЦП, что позволяет замаскировать дополнительную нагрузку от   майнингового скрипта. Так ему удается работать дольше и   использовать большую вычислительную мощность.

Обратите внимание на   загрузку процессора при запуске одного из   скомпрометированных сайтов:

Кстати, идея майнинга криптовалют в   браузере не   является чем-то новым, сообщают эксперты. В   2013 году студенты Массачусетского технологического института (MIT) основали компанию Tidbit, которая предлагала веб-сервис по   майнингу биткойнов.

Вместо показа рекламы администраторы сайтов могли зарабатывать на   майнинге, добавив скрипт Tidbit к   своим сайтам. Вскоре основатели получили повестку в   суд, поскольку использовали вычислительные мощности пользователей без их   согласия. В   итоге стороны пришли к   мировому соглашению, но   проект Tidbit пришлось свернуть.

Теги: Курсы валют