15

Coinhive закрылся, но угроза браузерного майнинга сохранилась

8 марта 2019 года сервис Coinhive, который задумывался как легальная и простая альтернатива классической баннерной рекламе, но получил широкое распространение в среде преступников, прекратил работу, однако угроза браузерного майнинга сохраняется.

Об этом свидетельствуют данные исследования, проведённого экспертом компании Malwarebytes Джеромом Сегурой. Он пришёл к выводу, что криптоджекинг жив и процветает. Так, спустя два месяца после закрытия Coinhive по-прежнему насчитывается немало ресурсов, заражённых вредоносными скриптами. Телеметрия Malwarebytes регистрирует около 150 000 блоков в день (тогда как пиковые значения равнялись 200 000).

Впрочем, никакой активности на заражённых сайтах нет, так как установка соединения между клиентом и сервером невозможна, равно как и операции майнинга.

Закрытие Coinhive не означает смерть криптоджекинга в целом. Многие сайты теперь заражены майнинговыми скриптами CryptoLoot, который всё ещё активен. Хотя объёмы майнинга не сравнятся с 2017 годом, когда эпидемия криптоджекинга только начиналась, специалисты по-прежнему ежедневно выявляют и блокируют более миллиона запросов к CryptoLoot. Также, популярен сервис CoinIMP, в основном использующийся на файлообменных сайтах.

Сегура отмечает и популярность нового сервиса WebMinePool, который используется для заражения роутеров MikroTik через известные уязвимости. Атакуя роутеры, хакеры могут не ограничивать себя конкретными заражённым сайтами, но внедряют майнеры в трафик в целом. Скрипты WebMinePool позволяют настроить нагрузку на CPU и в среднем загружают системы жертв на 70%.