Server sync... Block time in database: 1664715057, server time: 1664715287, offset: 230

Криптоджекинг: знакомимся с угрозой и предотвращаем ее


Появление криптовалют и майнинга в киберпространстве породило ряд мошеннических схем, целью которых является банальный заработок. Существует масса подходов: можно получить доступ к счету и вывести средства, скопировать важные данные и начать шантажировать пользователя, или просто подменить адреса кошельков, с целью инициирования якобы добровольного перевода денег. Однако каждый из представленных способов имеет один серьезный недостаток, - жертва практически сразу узнает о случившемся, и как следствие, начинает предпринимать меры. Решением проблемы видимости действий стал криптоджекинг.

Криптоджекинг: особенности метода

Суть криптоджекинга заключается в создании «моста» между вычислительными мощностями пользователя и компьютером злоумышленника. Он необходим для того, чтобы хакер мог дистанционно управлять техникой, отдавая необходимые для извлечения прибыли «приказы».

Вычислительные мощности компьютера представляют собой основную цель, поскольку именно с их помощью происходит майнинг. Далее пути криптоджекеров расходятся, в зависимости от выбранного типа работы:


  • через установку ПО на устройство жертвы;

  • через активацию майнинг-скриптов на веб-сайте.

Работа через установку ПО подразумевает необходимость получения соответствующего доступа, который может формироваться автоматически через перенос на устройство определенных файлов. Самым распространенным способом «проникнуть» в чужое устройство является «комплектация» популярных программ «дополнениями». На выходе, пользователь скачивает, предположим, установочный файл торрентов, и в «довесок» к нему ПО для криптоджекинга (установка которого будет тщательно скрываться).

Картинки по запросу cryptojacking

Другой путь – майнинг через установку скриптов на вебсайтах, может быть поделен на два направления: работа через собственный сайт, либо целенаправленный перехват доступа к страницам популярного ресурса с целью установки «каналов» для майнинга.

Интересно! Команда проекта coinhive предложила использовать возможности криптоджекинга в мирном русле, - в целях избавления от рекламы. Как итог, пользователи, посещающие вебсайты, работающие на ПО разработчиков, «платят» своими вычислительными мощностями за отсутствие назойливых объявлений.

По предварительным подсчетам, данный подход может приносить порядка 0,3 XMR в месяц (при средних показателях активности). Впрочем, многие владельцы сайтов решили «убить двух зайцев», снабдив площадки и рекламой, и новомодным скриптом.

Одним из самых популярных ресурсов, решивших начать зарабатывать на своей аудитории, стал The Pirate Bay. Так называемая «пиратская бухта» является одним из самых крупных и часто посещаемых индексаторов торрент-файлов. Исходя из названия понятно, что на сайте представлен авторский контент, который интернет-пользователи не желают покупать. Посещая его, визитер как бы добровольно-принудительно «жертвует» часть своих вычислительных мощностей в угоду команде проекта.


Примечательно, что популярность и лазейки в законах позволяют The Pirate Bay безнаказанно осуществлять свою деятельность с 2003 года.

С приходом эры криптоджекинга ресурс захлестнула новая волна популярности, поскольку раздавая торрент (они комплектуются пользователями), хакер может быстро и незаметно получить доступ к вычислительным мощностям другого человека.

Как итог, The Pirate Bay попал под пристальное внимание исследователей безопасности. Одним из последних инцидентов стало обнаружение вредоносного ПО в загрузочном файле киноленты «Девушка, которая застряла в паутине». По словам пользователя, обнаружившего опасность, при помощи установки файла на компьютер жертвы, злоумышленники могли подменять адреса криптовалютных транзакций биткоин и Ethereum-кошельков.

So once I downloaded and thought it looked weird due to the icon of the download AVI.. I through it in a Hex Editor, and oh.. There is some kind of powershell.. WTF? Put it through Virustotal.. and what do you know! CozyBear putting droppers in Hacker Movies Now?! pic.twitter.com/o0yU7HWCtX
— 0xffff0800 (@0xffff0800) 11" class="redactor-linkify-object">https://twitter.com/0xffff0800/status/108358513683... января 2019 г.

«Большая часть юзеров, вероятнее всего, даже не обратит внимания на замену чисел», — отметил пользователь, обнаруживший угрозу.

Важно! Проблема сложности запоминания и идентификации адресов криптокошельков является одной из излюбленных тем хакеров, благодаря которой они получают неплохой доход. К слову, именно в этом вопросе анонимность цифровых денег играет против системы.

К сожалению, самостоятельное обнаружения доступа криптоджекеров к собственному оборудованию крайне затруднено. Основной причиной является недостаточный уровень понимания механизмов работы устройства, а также невозможность анализа его технического состояния.

Картинки по запросу cryptojacking

Чем опасен криптоджекинг

Получается, что криптоджекинг имеет ряд воплощений: от относительно безвредных (заработок через задействование вычислительных мощностей пользователя во время посещения определенных вебсайтов), до конкретного вредительства (подмена адресов криптокошельков). Далее следует подробно рассмотреть весь перечень опасностей, которым может быть подвержена техника «благодаря» работе криптоджекеров:


  • снижение уровня быстродействия компьютера;

  • отсутствие контроля (дистанционное управление позволяет мошенникам управлять оборудованием, внося собственные правки/изменения);

  • опасность выхода оборудования из строя (постоянные нагрузки на оборудование негативно сказываются на рациональности использования ресурсов);

  • вероятность утечки данных (злоумышленники могут использовать хранящиеся на компьютере данные).

Кроме того, сам факт получения доступа к вычислительным мощностям оборудования снижает эффективность возможностей их использования в личных целях.

Картинки по запросу cryptojacking

Важно! Криптоджекинг распространяется не только на компьютеры.

В последнее время индустрия мобильных гаджетов демонстрирует невероятный прогресс, - сотовые телефоны начали оснащать мощными процессорами, работу которых также успели оценить злоумышленники.

Доступ к телефонам, планшетам и подобным устройствам также открывается либо через скачивание ПО, либо при помощи работы на определенных сайтах (при этом официальные ресурсы также могут стать источником «заразы»).

Бытует мнение, согласно которому Android является главной целью хакеров. Однако отчет команды исследователей Check Point от 15 октября 2018 года установил, что устройства Apple также находятся в зоне риска. Согласно данным, за один лишь промежуток с августа по сентябрь 2018 года количество угроз для «яблочной» техники увеличилось на 400%.

Криптоджекинг в цифрах

Далее необходимо привести несколько «цифр», которые позволят увидеть реальный уровень угрозы криптоджекинга:


  • Согласно отчету McAfee Labs, второй квартал 2018 года принес 86% роста уровня преступности, связанного с применением криптоджекинга.

  • Команда исследователей компании Group-IB в августе 2018 года представила данные, согласно которым количество предложений о приобретении ПО для криптоджекинга в сети возросло в 5 раз. Информация отражает состояние рынка за первые 6 месяцев 2018 года. В анализе были использованы предложения из даркнета.

  • В декабре 2018 года специалисты Лаборатории Касперского представили исследование, согласно которому в 2018 году количество криптоджекинг-атак возросло на 40%.

  • Согласно данным отчета израильской компании Check Point Software Technologies, в январе 2019 года криптоджекинг в 13 раз занял лидирующую позицию в рейтинге киберугроз.

Примечательно, что с ростом уровня технического совершенства смартфонов, показатели могут продолжить увеличиваться.

К сожалению, уровень разработок в области защиты от воздействия злоумышленников в вопросах несанкционированной эксплуатации вычислительных мощностей, значительно уступает силе идей криптоджекеров.

Как определить, находится ли ваша техника в опасности

Если пользователь не замечает каких-либо изменений в «поведении» компьютера, это не означает, что до его вычислительных мощностей не добрались криптоджекеры. Однако, в большинстве случаев, факт «вмешательства» можно определить по следующим признакам:


  • работа устройства становится значительно громче (во многом за счет кулеров);

  • система становится медлительнее, что особенно заметно после некоторого время простоя.

Картинки по запросу cryptojacking

При этом крайне важно проверить уровень нагрузки на ядра компьютера. Сделать это можно через диспетчер задач. 100% нагрузки в фоновом режиме однозначно является признаком скрытого майнинга. Говоря о мобильных гаджетах, определение «источника» потребления ресурсов происходит через анализ их распределения между приложениями.

К сожалению, представленный путь анализа является действенным далеко не в каждом случае. Часто ПО для криптоджекинга умело маскируется под другие программы/задачи. Как следствие, его выявление значительно усложняется и требует помощи специалиста.

Важно! С началом популяризации криптоджекинга, многие пользователи ринулись проверять свои гаджеты и компьютеры на предмет заражения. Как итог, доход криптоджекеров существенно просел. Однако в качестве «ответа» на принятые меры, они изобрели программы для дистанционного контроля уровня нагрузки.

Благодаря им из устройства может «вытягиваться» исключительно то количество вычислительных мощностей, которое не приведет к появлению каких-либо негативных признаков (шума, зависания и т.п.). Встречаются также программы, способные самостоятельно удаляться в случае приближения рассекречивания. При помощи данной возможности, злоумышленник сохраняет «мост» связи с устройством, и впоследствии может повторно установить программу.

Пути устранения проблемы

В качестве вспомогательных элементов для поиска угрозы, может использоваться специально разработанный для подобных целей софт. Примером может выступить программа Anti-WebMiner. С ее помощью можно установить факт работы скрипта. Другим софтом, который также может помочь, являются Malwarebytes, No Coin и MinerBlock.

В качестве еще одного популярного совета, «гуляющего» по сети, выступает отключение всех JavaScript в браузере. Однако стоит понимать, что вместе с вредоносным скриптом, отключатся и полезные.

Картинки по запросу cryptojacking

Превентивные меры

Существует ряд рекомендаций, благодаря которым риск предоставить вычислительные мощности своего компьютера в пользу злоумышленников остается на крайне низком уровне. К ним относятся следующие:


  • важно всегда иметь под рукой антивирус и не забывать обновлять его базы;

  • необходимо пользоваться блокировщиком рекламы;

  • не следует скачивать файлы с непроверенных ресурсов.

Для постоянного контроля, рекомендуется вывести виджет уровня нагрузки процессора на рабочий стол. Примечательно, что при майнинге через браузер, данный показатель может вырасти в четыре раза (по сравнению с обычным положением).

Крайне важно обращать внимание на любые изменения в поведении компьютера, и ни в коем случае не снижать концентрации внимания при работе с заполнением информации о переводе средств (особенно касается длинных адресов кошельков).

Подводим итоги

Таким образом, криптоджекинг представляет собой реальную угрозу, способную использовать вычислительные мощности оборудования других пользователей в целях извлечения прибыли. Однако помимо банального удаленного майнинга, в сети также встречаются опасности, связанные с переводом средств через захват управления или подмену данных. В любом случае, любое подозрение о вмешательстве должно подкрепляться проверкой работоспособности системы.


Comments 1