29

Skrypty kopią kryptowaluty nawet po zamknięciu okna przeglądarki

Kopanie kryptowalut przez skrypty zamieszczane na stronach WWW o marnej reputacji to nic nowego. W przeszłości opisaliśmy na łamach Antyweba już kilka takich przypadków, a badacze szacują, że takich stron może być nawet ponad 2,5 tysiąca. Okazuje się jednak, że naciągacze idą dalej i są w swoim postępowaniu całkiem sprytni.

Do tej pory obrona przed tego typu złośliwym oprogramowaniem była całkiem prosta. Wystarczyło zamknąć okno przeglądarki, które nagle powodowało nam 100% zużycie procesora. Teraz jednak badacze z MalwareBytes wpadli na nieco bardziej zaawansowaną implementację. Dzięki niej kopanie może odbywać się nawet po zamknięciu przeglądarki, a co więcej nie zużywa 100% mocy naszego procesora i może pozostać niezauważone przez dłuższy czas.

Strategia czerpania małą łyżeczką

Okazuje się, że niemal jak ze wszystkim, znacznie lepszą strategią niż całkowite „zajeżdżanie” procesora, jest wykorzystanie tylko części jego mocy obliczeniowej. Poniższa implementacja systemu Coinhive służącego do kopania kryptowaluty Monero, uruchamiana jest na zarażonej stronie w formie okienka pop-up. Nie pojawia się ono jednak na wierzchu, ale sprytnie się ukrywa, tak że nawet po zamknięciu przeglądarki możemy je z łatwością przeoczyć.

Jak możecie zaobserwować na animacji poniżej, po wejściu na zarażoną stronę, użycie procesora wzrasta do około 50-60%. Nie jest to nic nadzwyczajnego, bo czasami nawet reklamy mogą wywołać takie obciążenie w przeglądarce. Nie wpływa to też znacznie na szybkość naszego komputera. Zamknięcie strony nic nie zmienia, obciążenie procesora nadal pozostaje na zadanym poziomie. Jak się okazuje, w „koparka” uruchomiona jest w małym okienku, które automatycznie schowało się za zegarkiem, za paskiem zadań systemu Windows!

Na pierwszy rzut oka nic nie widać. Dopiero po zmianie rozmiaru paska albo jego ukryciu pojawia się rzeczone okienko. Innym sposobem na jego odkrycie może być najechanie na ikonkę przeglądarki na pasku zadań. W Windows 10 wyświetli się wtedy miniatura wszystkich otwartych okienek. W tym również tego z złośliwym kodem. Ostatecznie można też wyłączyć łączenie okienek tych samych aplikacji. Trzeba kliknąć prawym przyciskiem myszy na pasek zadań, wybrać „Ustawienia paska zadań” i w menu rozwijalnym „Połącz przyciski paska zdań” wybrać opcję Nigdy.

Na ten moment MalwareBytes potwierdziło, że trick ten działa z najnowszą wersją przeglądarki Chrome. Nie wiadomo, czy podobne zachowanie można zaobserwować również na innych aplikacjach.

Nie pomoże nawet bloker reklam

Okazuje się również, że sam skrypt uruchamiający pop-up jest na tyle sprytny, że potrafi oszukać aplikacje blokujące reklamy. Uruchamia się już po pierwszym kliknięciu gdziekolwiek na stronie i łączy z losowym adresem, który jeśli nie jest na naszej czarnej liście, zostanie przepuszczony. Tym samym okienko zostanie niezauważalnie otwarte i kopanie będzie trwało w najlepsze. Specjaliści z MalwareBytes zwracają uwagę, że proceder związany z kopaniem waluty Monero przez Coinhive pomimo napiętnowania, nadal jest bardzo popularny w sieci i w przyszłości prawdopodobnie się tylko nasili. A to oznacza, że oszuści będą wymyślali jeszcze bardziej zaawansowane metody oszukiwania nieświadomych użytkowników stron WWW.