Как мошенники прячут криптоджекинговые скрипты от обнаружения

Когда Coinhive впервые появился в сентябре 2017 года, было довольно легко идентифицировать веб-сайты, которые используют этот скрипт, просмотрев несколько строк, ссылающихся на API Coinhive в исходном коде HTML. Поскольку это было новое явление, даже мошенникам не нужно было скрывать свои намерения.

Но поскольку блокировщики рекламы и антивирусные компании начали обнаруживать и блокировать Coinhive, преступники пошли на новые меры, чтобы скрыть свой код.

Sucuri много сообщала о взломанных веб-сайтах с различными системами управления контентом, в которые вставлялись творчески запутанные и замаскированные версии API Coinhive.

Прокси также стали все более распространенными, не говоря уже о растущем числе новых подобных Coinhive сервисов. В конечном счете, ведение черных списков стало очень сложным занятием.

Уклонение от попадания в черные списки

coinhive подмена

Некоторые вредоносные сайты чередуют между двумя разными версиями майнера. «Классический» дает прямую ссылку на coinhive.com, который можно легко обнаружить и заблокировать. Второй аналогичен по синтаксису, но вместо этого использует другое имя хоста npcdn1.now.sh. Хотя на первый взгляд, это может показаться небольшой разницей, но этого достаточно, чтобы обойти большинство черных списков.

Now.sh — это крупный легальный облачный сервис для развертывания приложений, созданных с помощью JavaScript, где любой может зарегистрироваться бесплатно. Точно так же, как и другие облачные платформы (AWS, Azure, Google), нецелесообразно блокировать такой домен или IP-адрес, не затрагивая множество других законных приложений. Вместо этого блокировка должна быть наложена на полное доменное имя (FQDN), например npcdn1.now.sh.

Хакеры злоупотребляют PaaS платформами, чтобы не только избегать черных списков, но и избегать выплаты 30-процентной комиссии Coinhive, выбирая пул Monero по своему усмотрению.

Проблема заключается в том, что, по сути, хакеры могут использовать неограниченное количество под-доменов, что быстро становится игрой «кошки-мышки». Совсем недавно появился новый под-домен sxcdn3.now.sh , который еще не был добавлен ни в один блок лист.

Наблюдение за процессором

Другим способом обнаружения браузерных майнеров является мониторинг использования ЦП и, по существу, обнаружение вкладок, которые потребляют большую часть ресурсов процессора. Загруженный процессор это обычное свойство большинства криптоджекеров. Часто хакеры используют нерегулируемый код и майнят на все 100%, не беспокоясь о замедлении работы компьютера.

Поскольку злоупотребление ресурсами ЦП может быть способом обнаружения вредоносного майнинга, кибер-преступники могут дросселировать (снижать) силу своего майнера, чтобы он работал ниже определенного порога, и сливался с нормальной деятельностью компьютера. Даже незначительная прикрутка использования ЦП до 80%, позволяет уходить от обнаружения.

Выводы

Криптоджекинг развивается быстрыми темпами и заставляет антивирусные кампании разрабатывать новые способы проактивного обнаружения и блокирования этой угрозы.

Для пользователей блокировщики рекламы в целом по-прежнему являются одним из лучших способов победить криптомайнеры.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *