Есть вопросы? PS. Я не бот, я — криптомайнер

27 ноября 2017 г., понедельник

В виджете LiveHelpNow, который используется как онлайн-консультант на 1,5 тыс. сайтов, обнаружен Coinhive.

В канун «Черной пятницы» ИБ-эксперт Трой Мурш (Troy Mursch) обнаружил на ряде ресурсов копию майнера Coinhive, сокрытую в широко используемом виджете LiveHelpNow. По данным PublicWWW, этот онлайн-консультант, работающий в режиме живого чата, функционирует почти на 1,5 тыс. сайтов, большинство которых — интернет-магазины или домашние страницы частных компаний.

В сезон праздничных распродаж миллионы пользователей устремляются в интернет-магазины в надежде совершить выгодные сделки. Для мошенников это тоже горячая пора: увлечение шопингом притупляет бдительность потенциальных жертв, и нужно успеть воспользоваться столь благоприятными условиями. Также в этот период невелики шансы, что кто-то заметит нежелательную активность и оперативно удалит или заблокирует ее источник.

Комментируя свою находку для Bleeping Computer, Мурш признал, что ему пока не известны причины появления Coinhive в JavaScript-файле LiveHelpNow. Вполне возможно, что это — результат целевого взлома ресурсов LiveHelpNow, однако инсайд тоже нельзя исключить: может статься, модификацию осуществил кто-то из сотрудников сервис-провайдера, вздумав таким образом пополнить свой запас Monero.

Примечательно, что скрипт-майнер отдается не всем посетителям сайта, однако Мурш не усмотрел никакой системы в этом процессе. Исследователь также отметил, что для запуска Coinhive может потребоваться обновление страницы.

Майнинговая активность подтверждена на сайтах крупнейших ритейлеров Crucial и Everlast. Посетители таких сайтов могут заметить, как загрузка ЦП резко возрастает до 100%.

Рассказав о находке Мурша, репортер Bleeping Computer не преминул отметить, что это далеко не первый хитрый способ маскировки криптомайнеров, работающих в браузере. Так, еще один майнер Monero — Crypto-Loot — был недавно обнаружен в файле cookiescript.min.js, подгружаемом с легитимного сайта сервис-провайдера Cookie Consent для того, чтобы пользователь мог выразить согласие на установку куки в соответствии с нормами Евросоюза. Зафиксированы также случаи, когда злоумышленники пытались замаскировать свой майнер под Google Analytics, Google Tags или файлы JQuery.

Threatpost