24 січня співробітники Trend Micro зафіксували цілеспрямовану кампанію з розміщення банерів з кодом для майнингу криптовалют в мережі DoubleClick. Кількість веб-майнерів Coinhive збільшилась втричі через шкідливу рекламу. Її запускала не тільки Coinhive, але й окремий веб-майнер, який підключався до приватного пулу. Основною платформою відображення банерів став Youtube.
Після аналізу сторінок було виявлено два вбудованих скрипти веб-майнерів, та скрипт самого DoubleClick. JavaScript код генерував випадкове число між змінними 1 і 101, якщо значення змінної було понад 10, вона викликала coinhive.min.js, що використовував 80% потужності процесора для майнингу. Це відбувалось у дев'яти з десяти випадків. Для інших 10%, запускався запасний веб-майнер.
Скрипти засновані на коді сервісу Coinhive, що просуває майнинг як новий спосіб монетизації для власників сайтів. Перший скрипт є оригінальним кодом від сервісу Coinhive. Другий скрипт відрізняється тим, що він модифікований для використання власного пулу, розгорнутого на серверах AWS для уникнення 30% комісії сервісу Coinhive.
Попри заяву Google про те, що шкідливі банери блокуються протягом декількох годин, зловмисники продовжують обходити систему перевірки коду банерів. Відеохостинг обрано як цільову платформу для розміщення банерів, оскільки скрипт може працювати тривалий час при перегляді відео
Ще немає коментарів