SOS :: Security Operation Space
11 декабря, вторник, 00:00
|
Hot News:

Рекламная сеть добывает Monero в обход блокировщиков

07 марта 2018 г., среда, 05:37

Для обхода плагинов, блокирующих рекламу с редиректом, мошенники используют алгоритм DGA.

Мошенники, использующие чужие компьютеры для майнинга криптовалют, становятся все изобретательней. Теперь они нашли способ обмануть антиспам-расширения и запускать JavaScript-майнер Coinhive через рекламу в браузере.

Специалисты лаборатории Netlab 360 компании Qihoo недавно обнаружили сеть, применяющую так называемый алгоритм генерации доменов (domain generation algorithms, DGA), позволяющий обходить блокировщики рекламы и показывать пользователю объявления, ссылающиеся на лендинг-страницы с майнером.

Название системы не раскрывается, в отчете она фигурирует под кодовым именем DGA.popad. Однако эксперты утверждают, что уже в 2017 году ее владельцы прибегали к этому механизму.

«В декабре 2017 года они снова подняли планку: мы начали замечать, что сгенерированные домены участвуют в криптоджекинге, причем конечный пользователь об этом не знает», — пишет Чжан Цзайфэн (Zhang Zaifeng), сотрудник Netlab 360.

Алгоритм создает домены с такой частотой, что к моменту, когда блокировщик опознает один из них как источник рекламы, его успевает сменить новый.

«В противоборстве между компаниями, организующими рекламные сети, и разработчиками плагинов-блокировщиков нет ничего удивительного, но вот на то, что первые участвуют в майнинге и используют для этого DGA-домены, стоит обратить внимание», — отметил Цзайфэн.

Скрипт Coinhive часто применяют злоумышленники, внедряющие его на сайты без ведома их владельцев и добывающие криптовалюту Monero за счет вычислительных мощностей компьютеров, планшетов и телефонов посетителей.

Жертва недобросовестной рекламы, обнаруженной Netlab 360, попадает на страницу с объявлениями, перенаправляющими ее в домен popad[.]net, содержащий JavaScript-майнер. Защитное расширение, если оно работает в браузере пользователя, блокирует этот домен. Тогда в дело включается внедренный злоумышленником механизм, заменяющий его на один из новых доменов, сгенерированных с помощью DGA. В результате пользователю удается открыть страницу, содержащую Coinhive.

«Для проверки мы решили зайти на один из этих сайтов, и загруженность процессора сразу взлетела до 100%», — утверждает Цзайфэн.

ad-network-crypto

Хотя прибыль мошенников неизвестна, в Netlab 360 считают, что жертвой криптоджекинга могли стать многие, тем более что некоторые из доменов DGA.popad попали в список 2000 самых посещаемых сайтов по версии Alexa.

По данным лаборатории, рекламные объявления с обходом блокировки демонстрируются в основном на порносайтах и других страницах, часто используемых злоумышленниками в качестве приманки.

Криптоджекинг в последний год набирает популярность — например, в середине февраля исследователи обнаружили в коде тысяч правительственных сайтов майнер, который скрытно использовал процессоры устройств посетителей для добычи криптовалюты Monero.

«Криптоджекинг никуда не денется, — рассказал Threatpost Трой Мерш (Troy Mursch), исследователь из Bad Packets Report. — Он будет постоянно всплывать. А у посетителей пораженных сайтов остается неприятный осадок».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
09:15
09:15
08:15
07:15
06:15
06:15
05:20
18:15
17:15
16:27
14:25
14:15
14:15
14:01
12:15
11:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.182
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.