Egyre több webshopot fertőznek meg kriptobányászok
Divatos lett a cryptojacking, a támadók ha tehetik fizetési adatok mellet CPU teljesítményt is lopnak.
Egyre szélesebb körű problémát jelentenek a weboldalak felületén elhelyezett kriptovaluta-bányászprogramok - derül ki Willem de Groot biztonsági szakértő kutatásából. A látogatók készülékeinek erőforrásait megcsapoló tevékenységet cryptojackingként is emlegetik, az erre használt egyik legnépszerűbb szoftvert, a CoinHive-ot pedig már közel 2500 webshopban csípték el.
A hasonló esetek mögött ugyanakkor jórészt nem az online boltok üzemeltetői állnak, a bányászokat az oldalakon online bűnözők helyezik el - ez abból is sejthető, hogy a gwillem néven is ismert szakértő az érintett boltok 80 százalékánál a bányászszoftver mellett a fizetési adatok megszerezésére szolgáló malware-eket is talált. A szakértő az Ars Technicának nyilatkozva elmondta, az érintett oldalak valószínűleg elavult, biztonsági réseket tartalmazó szoftvereiken keresztül estek áldozatul a cryptojacking kampánynak.
A kéretlen kriptobányászok gyors terjedése mögött ráadásul úgy tűnik, nem kiterjedt bűnözőcsapatok, csupán maroknyi támadó áll. A CoinHive-hoz ugyanis egyedi azonosítók párosulnak, amelyekből ha a zugbányász személye nem is csíphető el, az kideríthető, egy-egy támadó hány webshopba ágyazott bányászprogrammal köthető össze. Ebből gwillem szerint kiderül, hogy az fertőzött online boltok (egész pontosan 2496 darab) mintegy 85 százaléka mindössze két CoinHive fiókkal kommunikál, a maradék 15 százalék pedig egyedi fiókokat használ - ugyanakkor miután ezek mindegyike egységesen az adott oldal nevét viseli, jó eséllyel a szóban forgó 15 százalék mögött is egyetlen ember áll. Könnyen lehet tehát, hogy a teljes cryptojacking kampány három személyre vezethető vissza.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Azt webshopja válogatja, hogy az adott CoinHive példány elrejtésébe a támadók mennyi energiát fektettek: egyes helyeken bármilyen álca nélkül virít a coinhive.js fájl, míg máshol egy iframe mögé rejtik azt, netán a Sucuri Firewallnak álcázzák. A probléma egyébként nem korlátozódik a webshopokra, az Ars Technica nemrég ugyancsak CoinHive-val operáló androidos appokról is beszámolt, amelyek a Play Store-ban 50 ezer, sőt akár 15 millió letöltést is produkáltak.
A CoinHive egyébként nemrég az egyik legnépszerűbb torrentoldalon, a The Pirate Bay-en is feltűnt, ott azonban nem ismeretlen támadók, hanem az oldal üzemeltetői álltak a bevezetése mögött, a bányászt ők a hirdetések helyetti alternatív bevételi forrásként vizsgálták. Miután azonban ezt előzetes bejelentés nélkül tették, komoly nemtetszést váltott ki a felhasználók körében. A modell egyébként kifejezetten érdekes, hiszen biztosan akadnak, akik ésszerű korlátok között szívesen cserélnék le a reklámokat némi feláldozott CPU teljesítményre (és persze magasabb áramszámlára).
A JavaScriptre építő bányászok, mint a tárgyalt CoinHive szerencsére nem kivédhetetlenek, legtöbbször egyszerűen hirdetésblokkolóval kivégezhetők, ha abban az adott bányász URL-jét tiltja a felhasználó, de tetszőleges scriptblokkoló beépülőkkel is leállíthatók - illetve a böngésző beállításai között is egyszerűen kikapcsolható a JavaScript. De mára léteznek kifejezetten a hasonló, weboldalakba ágyazott kriptovaluta-bányászó megoldások ellen védelmet biztosító böngészőkiegészítők is, mint például a No Coin, amely Firefox és Chrome alatt is elérhető. Utóbbi egy kifejezetten a bányászokat tartalmazó feketelistát használ (amelyen a CoinHive is ott van) így nem kell feltétlenül minden scriptet vagy reklámot blokkolni vele a látogatott oldalakon.