Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Для обхода плагинов, блокирующих рекламу с редиректом, мошенники используют алгоритм DGA.
Мошенники, использующие чужие компьютеры для майнинга криптовалют, становятся все изобретательней. Теперь они нашли способ обмануть антиспам-расширения и запускать JavaScript-майнер Coinhive через рекламу в браузере.
Специалисты лаборатории Netlab 360 компании Qihoo недавно обнаружили сеть, применяющую так называемый алгоритм генерации доменов (domain generation algorithms, DGA), позволяющий обходить блокировщики рекламы и показывать пользователю объявления, ссылающиеся на лендинг-страницы с майнером.
Название системы не раскрывается, в отчете она фигурирует под кодовым именем DGA.popad. Однако эксперты утверждают, что уже в 2017 году ее владельцы прибегали к этому механизму.
«В декабре 2017 года они снова подняли планку: мы начали замечать, что сгенерированные домены участвуют в криптоджекинге, причем конечный пользователь об этом не знает», — пишет Чжан Цзайфэн (Zhang Zaifeng), сотрудник Netlab 360.
Алгоритм создает домены с такой частотой, что к моменту, когда блокировщик опознает один из них как источник рекламы, его успевает сменить новый.
«В противоборстве между компаниями, организующими рекламные сети, и разработчиками плагинов-блокировщиков нет ничего удивительного, но вот на то, что первые участвуют в майнинге и используют для этого DGA-домены, стоит обратить внимание», — отметил Цзайфэн.
Скрипт Coinhive часто применяют злоумышленники, внедряющие его на сайты без ведома их владельцев и добывающие криптовалюту Monero за счет вычислительных мощностей компьютеров, планшетов и телефонов посетителей.
Жертва недобросовестной рекламы, обнаруженной Netlab 360, попадает на страницу с объявлениями, перенаправляющими ее в домен popad[.]net, содержащий JavaScript-майнер. Защитное расширение, если оно работает в браузере пользователя, блокирует этот домен. Тогда в дело включается внедренный злоумышленником механизм, заменяющий его на один из новых доменов, сгенерированных с помощью DGA. В результате пользователю удается открыть страницу, содержащую Coinhive.
«Для проверки мы решили зайти на один из этих сайтов, и загруженность процессора сразу взлетела до 100%», — утверждает Цзайфэн.
Хотя прибыль мошенников неизвестна, в Netlab 360 считают, что жертвой криптоджекинга могли стать многие, тем более что некоторые из доменов DGA.popad попали в список 2000 самых посещаемых сайтов по версии Alexa.
По данным лаборатории, рекламные объявления с обходом блокировки демонстрируются в основном на порносайтах и других страницах, часто используемых злоумышленниками в качестве приманки.
Криптоджекинг в последний год набирает популярность — например, в середине февраля исследователи обнаружили в коде тысяч правительственных сайтов майнер, который скрытно использовал процессоры устройств посетителей для добычи криптовалюты Monero.
«Криптоджекинг никуда не денется, — рассказал Threatpost Трой Мерш (Troy Mursch), исследователь из Bad Packets Report. — Он будет постоянно всплывать. А у посетителей пораженных сайтов остается неприятный осадок».
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |