Jesteście na to przygotowani? Kopanie kryptowaluty możliwe nawet przy „wyłączonej” przeglądarce

4 grudnia, 2017

W ostatnim czasie dwukrotnie informowaliśmy o zagrożeniu cryptojacking’u. Teraz w związku z szalejącym kursem różnych kryptowalut przestępcy, ale i administratorzy stron internetowych coraz częściej wykorzystują darmową moc obliczeniową, aby zarabiać na użytkownikach, którzy po prostu odwiedzają serwisy i portale internetowe.

Jeszcze do niedawna głównym problemem były tylko te złośliwe skrypty JavaScript, które po odwiedzeniu zainfekowanej strony (lub zupełnie bezpiecznej) uruchamiały procedurę korzystania z cykli procesora w sposób odbiegający od normy. Pozwalało to wykorzystywać (za zgodą lub bez wiedzy użytkownika) moc procesora każdego komputera, który nie był chroniony przez oprogramowanie zabezpieczające lub rozszerzenie blokujące koparki JavaScript. Niektóre serwisy celowo zastąpiły koparkami zwykłe reklamy, z kolei inne zostały po prostu zhackowane.

Cryptojacking coraz groźniejszy

Do tej pory kopanie kryptowaluty trwało do momentu, aż karta przeglądarki została zamknięta. Niestety cryptojacking zaczyna ewoluować — nawet przy teoretycznie zamkniętej przeglądarce możliwe jest zużywanie cyklów procesora w znacznym stopniu.  

Badacze bezpieczeństwa z firmy Malwarebytes odkryli na kilku zainfekowanych stronach inny szkodliwy kod JavaScript, który był pobierany m.in. z serwerów firmy Amazon. 

Skrypt ten po zamknięciu przeglądarki poprzez zwykłe kliknięcie w „X” mimo wszystko uruchamiał nowy proces przeglądarki w sposób prawie niedostrzegalny dla użytkownika:

hidden mining
Ukryta przeglądarka działa w tle i korzysta z mocy procesora.

Stara technika „pop-under” pamiętająca wiek XX pozwala uruchomić przeglądarkę w tle. Okno przeglądarki nie jest widoczne na pasku systemowym, a w zasobniku systemowym. Jest to prawie niewidoczne dla ludzkiego oka.

Zamknięcie programu za pomocą „X” nie jest już wystarczające. Na całe szczęście uruchomiony proces przeglądarki widoczny w menadżerze zadań zdradza zamiary strony internetowej, z której został uruchomiony złośliwy skrypt.

os compare
Obserwacja paska systemowego Windows… To musi być ciekawe.

W jaki sposób się chronić?

W taki sam jak przy „tradycyjnych” JavaScript’owych koparkach, ale ze zwróceniem szczególnej uwagi na procesy przeglądarek i „niewidoczne” okna w zasobniku systemowym. Oprócz tego rekomendujemy:

  1. W publicznym repozytorium GitHuba zamieszczono wtyczkę „No Coin” dla przeglądarek Firefox, ChromeOpera. Rozszerzenie zostało już dodane do oficjalnych repozytoriów każdego producenta. Zalecamy jego instalację, ponieważ rozszerzenie zabezpiecza nie tylko przez opisywanym skryptem do kopania Monero, ale także przed koparkami innych kryptowalut.
  2. Podobny efekt daje zainstalowanie blokera reklam „uBlock Origin”. I to w zupełności powinno wystarczyć. Co więcej, zyskujemy też możliwość blokowania reklam, hostów ze spamem, hostów ze złośliwymi reklamami, hostów szpiegujących i hostów z malware.
  3. Instalujemy bardzo skuteczną wtyczkę Bitdefender Trafichlight lub McAfee WebAdvisor do skanowania stron WWW. Instalując taki dodatek otrzymujemy jedne z najskuteczniejszych na świecie skanerów do wykrywania phishingu, malware i stron z oszustwami, a także ochronę w wynikach wyszukiwania.
  4. Większość programów zabezpieczających, które posiadają modułu do skanowania stron WWW powinny wykrywać podobne złośliwe skrypty.

Argument tak zwanych „zaawansowanych użytkowników” o nieprzydatności antywirusów zostaje obalony przez „drugą stronę”. Nie jest to tajemnicą, że zabezpieczenie komputera powinno zaczynać sie od ochrony przeglądarki, dlatego oprogramowanie antywirusowe musi posiadać moduł skanujący strony internetowe pod kątem szkodliwego oprogramowania oraz złośliwej zawartości.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]