Egyre több webshopot fertőznek meg kriptobányászok

Egyre szélesebb körű problémát jelentenek a weboldalak felületén elhelyezett kriptovaluta-bányászprogramok - derül ki Willem de Groot biztonsági szakértő kutatásából. A látogatók készülékeinek erőforrásait megcsapoló tevékenységet cryptojackingként is emlegetik, az erre használt egyik legnépszerűbb szoftvert, a CoinHive-ot pedig már közel 2500 webshopban csípték el.

A hasonló esetek mögött ugyanakkor jórészt nem az online boltok üzemeltetői állnak, a bányászokat az oldalakon online bűnözők helyezik el - ez abból is sejthető, hogy a gwillem néven is ismert szakértő az érintett boltok 80 százalékánál a bányászszoftver mellett a fizetési adatok megszerezésére szolgáló malware-eket is talált. A szakértő az Ars Technicának nyilatkozva elmondta, az érintett oldalak valószínűleg elavult, biztonsági réseket tartalmazó szoftvereiken keresztül estek áldozatul a cryptojacking kampánynak.

A kéretlen kriptobányászok gyors terjedése mögött ráadásul úgy tűnik, nem kiterjedt bűnözőcsapatok, csupán maroknyi támadó áll. A CoinHive-hoz ugyanis egyedi azonosítók párosulnak, amelyekből ha a zugbányász személye nem is csíphető el, az kideríthető, egy-egy támadó hány webshopba ágyazott bányászprogrammal köthető össze. Ebből gwillem szerint kiderül, hogy az fertőzött online boltok (egész pontosan 2496 darab) mintegy 85 százaléka mindössze két CoinHive fiókkal kommunikál, a maradék 15 százalék pedig egyedi fiókokat használ - ugyanakkor miután ezek mindegyike egységesen az adott oldal nevét viseli, jó eséllyel a szóban forgó 15 százalék mögött is egyetlen ember áll. Könnyen lehet tehát, hogy a teljes cryptojacking kampány három személyre vezethető vissza.

Introvertáltak az IT-ban: a hard skill nem elég Már nem elég zárkózott zseninek lenni, aki egyedül old meg problémákat. Az 53. kraftie adásban az introverzióról beszélgettünk.

Azt webshopja válogatja, hogy az adott CoinHive példány elrejtésébe a támadók mennyi energiát fektettek: egyes helyeken bármilyen álca nélkül virít a coinhive.js fájl, míg máshol egy iframe mögé rejtik azt, netán a Sucuri Firewallnak álcázzák. A probléma egyébként nem korlátozódik a webshopokra, az Ars Technica nemrég ugyancsak CoinHive-val operáló androidos appokról is beszámolt, amelyek a Play Store-ban 50 ezer, sőt akár 15 millió letöltést is produkáltak.

A CoinHive egyébként nemrég az egyik legnépszerűbb torrentoldalon, a The Pirate Bay-en is feltűnt, ott azonban nem ismeretlen támadók, hanem az oldal üzemeltetői álltak a bevezetése mögött, a bányászt ők a hirdetések helyetti alternatív bevételi forrásként vizsgálták. Miután azonban ezt előzetes bejelentés nélkül tették, komoly nemtetszést váltott ki a felhasználók körében. A modell egyébként kifejezetten érdekes, hiszen biztosan akadnak, akik ésszerű korlátok között szívesen cserélnék le a reklámokat némi feláldozott CPU teljesítményre (és persze magasabb áramszámlára).

A JavaScriptre építő bányászok, mint a tárgyalt CoinHive szerencsére nem kivédhetetlenek, legtöbbször egyszerűen hirdetésblokkolóval kivégezhetők, ha abban az adott bányász URL-jét tiltja a felhasználó, de tetszőleges scriptblokkoló beépülőkkel is leállíthatók - illetve a böngésző beállításai között is egyszerűen kikapcsolható a JavaScript. De mára léteznek kifejezetten a hasonló, weboldalakba ágyazott kriptovaluta-bányászó megoldások ellen védelmet biztosító böngészőkiegészítők is, mint például a No Coin, amely Firefox és Chrome alatt is elérhető. Utóbbi egy kifejezetten a bányászokat tartalmazó feketelistát használ (amelyen a CoinHive is ott van) így nem kell feltétlenül minden scriptet vagy reklámot blokkolni vele a látogatott oldalakon.