Nieodwiedzanie szemranych stron internetowych wcale nie musi oznaczać, ze jesteśmy bezpieczni i nie musimy się martwić pułapkami zastawionymi przez cyberprzestępców. W ostatnim czasie bardzo narzekałem na słabą jakość działania serwisu YouTube - ale tylko na komputerach. Okazuje się, że problem był dużo poważniejszy, niż mi się wydawało.
Cyberprzestępcy już od dawna stosują bardzo ciekawe metody na utrudnienie życia internautom. Wielokrotnie pisaliśmy już o tzw. "minerach", skryptach wstrzykiwanych w strony, które powodują rozpoczęcie kopania kryptowaluty na wszystkich komputerach łączących się z witryną i na których wykonano wspomniany skrypt. Odkryto, że tego typu mechanizm ukryto w... reklamie na YouTube i już w dwie godziny po pojawieniu się pierwszych informacji na ten temat, niebezpieczną treść zdjęto.
Szybka reakcja Google na te sygnały nie jest jednak w stanie przysłonić faktu, iż złośliwa reklama prawdopodobnie funkcjonowała przez około tydzień. Ile osób w tym czasie mogło kopać kryptowaluty dla cyberprzestępców? Cóż, naprawdę sporo.
Problemy wokół YouTube zaczęły się w momencie, gdy oprogramowanie antywirusowe niektórych użytkowników zaczęło wskazywać na problemy w serwisie YouTube. Sprawą następnie zajęło się Trend Micro, które wywnioskowało, iż platforma reklamowa DoubleClick została zaatakowana przez sprytnych cyberprzestępców. Krótkie śledztwo wykazało, iż treść sponsorowana zawierała w sobie kod Javascript, który uruchamiał zdalną koparkę na urządzeniach użytkownika (w ramach Coinhive).
Użytkownik, który łączył się z serwisem YouTube i wyświetlona została mu złośliwa reklama mógł odczuć znaczny spadek wydajności swojej maszyny w trakcie działania "zdalnej koparki". Również ja odczułem, że w pewnych momentach właśnie w serwisie YouTube można zauważyć wolniejsze działanie strony oraz... całego komputera. Nie sądziłem jednak, że mogło to zostać spowodowane przez działanie koparki ukrytej w reklamach Google (nie korzystam z AdBlocka, jestem świeżo po reinstalacji systemu i zwyczajnie nie zablokowałem Monero/Coinhive).
Trend Micro w toku własnych oględzin tej sprawy wywnioskowało, że problemy z YouTube i minerami zaczęły się już... 18 stycznia, co wskazuje na to, że użytkownicy od dłuższego czasu mogli być ofiarami cyberprzestępców. Nieco dziwne, że ów fakt został przez giganta niezauważony przez tak długi okres.
Google po otrzymaniu potwierdzenia istnienia tego procederu w ramach jego sieci reklamowej zablokował złośliwą reklamę oraz zawiesił konto cyberprzestępców w Double Click - zajęło to około dwóch godzin.
Cóż, cyberprzestępcom w dalszym ciągu nie znudziło się atakowanie użytkowników wewnątrz reklam i wygląda na to, że takich ataków będzie więcej - zwłaszcza, że to naprawdę się opłaca. Dlatego właśnie warto mieć program antywirusowy w komputerze i uważnie śledzić to, co dzieje się z uczęszczanymi przez nas stronami internetowymi.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
