Ťažba kryptomien sa dostala aj do reklám Google a na YouTube

Značky: kryptomeny

DSL.sk, 26.1.2018

Svojich návštevníkov obťažovala ťažením kryptomien už aj tak navštevovaná stránka ako najpopulárnejšia služba pre zdieľanie a webové sledovanie videa YouTube a spolu s ňou aj ďalšie stránky používajúce reklamy z reklamnej siete DoubleClick od Google.

Na ťažiace skripty využívajúce sieť DoubleClick upozornila bezpečnostná spoločnosť Trend Micro a na výskyt aj na YouTube zase Arstechnica na základe sťažností ľudí na sociálnych sieťach. Následne informáciu potvrdil aj Google.

Zatiaľ nie je jasné ako boli reklamy v reklamnej sieti DoubleClick infikované a akú ziskovosť dosahuje takéto šírenie v prípade, že išlo jednoducho o reklamy vytvorené a platené útočníkmi.

V každom prípade šírenie ťažiaceho a iného škodlivého Javascript kódu v HTML reklamách cez reklamné siete je technicky efektívne, keď dokáže škodlivý kód dostať na množstvo stránkok aj s vysokou návštevnosťou, ktoré nemajú kontrolu nad zobrazovanými reklamami. V prípade YouTube samozrejme patrí stránka aj reklamná sieť Google.

Mimoriadne efektívne je samozrejme ťaženie na stránkach, kde ľudia sledujú videá a trávia tak priemerne výrazne viac času ako na iných weboch.

Ilustračný obrázok, nedávne vyťažovanie CPU na 100% na stránkach Telekomu magiogo.sk, kliknite pre zväčšenie

Trend Micro zaregistrovala výrazné zvýšenie ťaženia na webe a ťaženie na rozličných stránkach reklamou z DoubleClick siete 24. januára, spätne na základe zachytenej aktivity zistila že kampaň prebiehala menej intenzívne zrejme od 18. januára. Škodlivý kód používal na ťaženie v 90% štandardný kód služby Coinhive ťažiacej kryptomenu Monero, vo zvyšných prípadoch zrejme prevzatý kód tejto služby ale nasmerovaný na iné servery. Ak manažovali servery samotní útočníci, nemuseli sa s prevádzkovateľom Coinhive deliť o vyťaženú menu.

Oba kódy boli nastavené na 80% vyťažovanie CPU.

Hoci Trend Micro hovorí o kampani trvajúcej týždeň, podľa stanoviska Google pre Arstechnica bol kód detekovaný a odstránený do dvoch hodín. Nie je ale jasné, či tomu tak nebolo v prípade YouTube a Google nehovorí len o YouTube.

Na Slovensku podľa analýzy DSL.sk ešte z októbra ťažili v tom čase krytpomeny stovky stránok, mnohé evidentne úmyselne. Najnavštevovanejšími stránkami, kde sa tak dialo a to evidentne bez úmyslu na strane ich prevádzkovateľa, boli stránky webových novín Denník N a tento mesiac aj stránky internetovej televízie Magio Go najväčšieho operátora Slovak Telekom.

V prípade oboch bola komunikácia o incidente problematická, Slovak Telekom na mnohé dôležité otázky vzhľadom na prístup potrebný na spôsob doručovania ťažiaceho skriptu na jeho stránkach jednoducho odmietol poskytnúť informácie. Navyše ťaženie trvalo skoro týždeň, operátor o ňom vedel a nedokázal ho promptne odstrániť.


Najnovšie články:



Diskusia:

Aj linux?? Od: Info7886789 | Pridané: 26.1.2018 23:35 Taketo tazenie prebiehalo aj ked sme navstivili uvedene stranky cez linux alebo to bolo iba pod widlami? Dik za objasnenie Odpovedať Známka: -6.7 Hodnotiť:

Re: Aj linux?? Od reg.: Uhlik | Pridané: 27.1.2018 2:02 Klikni pre zväčšenie. Odpovedať Známka: 9.3 Hodnotiť:

Re: Aj linux?? Od reg.: Pjetro de | Pridané: 27.1.2018 18:55 Presne. Mal kliknut pre zvacsenie. Presne jak Task Manager Wokien ne? Co navyse pouziva binarne prefixy MiB/GiB ... Odpovedať Známka: -3.3 Hodnotiť:

Re: Aj linux?? Od: Makovník | Pridané: 27.1.2018 6:18 Ťaženie beží na javascripte a teda jedno z ktorej platformy pristupuješ. Odpovedať Známka: 10.0 Hodnotiť:

Re: Aj linux?? Od: vsevec | Pridané: 27.1.2018 7:55 takže ďalší dôvod mať blokovač reklamy Odpovedať Známka: 10.0 Hodnotiť:

Re: Aj linux?? Od: ekofalus magnus | Pridané: 27.1.2018 9:21 Blokovač reklám je ekologický. Používajte blokovač reklám a zachránite planétu. Odpovedať Známka: 9.3 Hodnotiť:

Re: Aj linux?? Od: a6666666 | Pridané: 27.1.2018 16:20 noscript Odpovedať Známka: 6.7 Hodnotiť:

Re: Aj linux?? Od: aasami | Pridané: 29.1.2018 8:20 bez scriptov mas kopec stranok nefunkcnych. Ako kedysi, ked si nemal flash. Snazil som sa dlho fungovat s noscryptom a aj ked som mal slusnu databazu vynimiek stale to neunosne obtazuje, ked vacsina stranok bez sktiptov nie je schopna fungovat Odpovedať Známka: 10.0 Hodnotiť:

Titulok Od: menoniejedolezite | Pridané: 26.1.2018 23:55 Skúste ísť na stránku mp3.sk a sledujte ako sa Vám začne vyťažovať CPU Odpovedať Známka: 0.0 Hodnotiť:

Re: Titulok Od: spixy | Pridané: 27.1.2018 0:14 neviem, ja mám 15% Odpovedať Známka: -3.3 Hodnotiť:

Re: Titulok Od: menoniejedolezite | Pridané: 27.1.2018 0:29 Na Edge mi to ide v pohode, ale cez Chrome mi táto jediná stránka vyťažuje CPU na 99-100%, keď odídem, tak 8% Odpovedať Hodnotiť:

Re: Titulok Od: Ehm | Pridané: 27.1.2018 7:54 Chrome je v poslednek dobe divne.. Vecer zavriem notebook a za chvylku zacne hucar ventilator.. Tak som sa pohral co to asi moze robit a pri odstraneni chrome sa stav zlepsil.. Uz ostava zistit ktora apk vyuziva wmi ktore tiez vytazuje CPU :) Odpovedať Známka: 6.0 Hodnotiť:

Re: Titulok Od reg.: akoze | Pridané: 27.1.2018 17:50 tento problem mi vyriesili notebooky bez ventilatorov. Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok Od: VZ ftvf | Pridané: 27.1.2018 18:06 Chvylku? Odpovedať Známka: 10.0 Hodnotiť:

Re: tento vyrok je! Od: syntaxterrorX XX | Pridané: 27.1.2018 18:14 Z definicie: Chvylka je asi uplne presne dva momenty a mrk, co je skoro navlas devet okamihov a priekazne este neceleho pol mrku. Odpovedať Známka: -4.3 Hodnotiť:

ultraradikalny nihiliizmus Od: syntaxterrorX XX | Pridané: 27.1.2018 1:53 Skúsili sme, ale vôbec sa nám nechcelo a teda priekazne nemáme čo sledovať. Odpovedať Známka: -5.6 Hodnotiť:

Re: Titulok Od: aksdjflksjlx | Pridané: 27.1.2018 2:46 1% :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok Od: a6666666 | Pridané: 27.1.2018 16:26 0% Odpovedať Hodnotiť:

Re: Titulok Od: kllj | Pridané: 27.1.2018 19:04 som sklamany nevytazuje mi to cpu viac jak 20perc na kazdom jadre :((((((((((( (((((( (((((((( som cakal viac ale som sa nedockal ojebavaci ma ojebali. ja chcem mat vytazene na sto pro na kazdom jadre buahahaaaaaaaaaaaaaaaa a chcem a chcem a chcem buaaaaaaaaaa buaaaaa buaa Odpovedať Známka: -10.0 Hodnotiť:

tadaa Od: o2h | Pridané: 27.1.2018 0:22 mozno coinhive osial odstartuje konecne vyrobu poriadnych bateriek do mobilov :D Odpovedať Známka: 8.2 Hodnotiť:

upc bratislava Od: upc.ba | Pridané: 27.1.2018 1:41 upc zacalo blokovat thepiratebay.org, cez DNS Odpovedať Známka: 10.0 Hodnotiť:

Re: upc bratislava Od: Kraken000000001 | Pridané: 27.1.2018 5:56 Mne ide Odpovedať Hodnotiť:

Re: upc bratislava Od: upc.ba | Pridané: 27.1.2018 10:01 dig thepiratebay.org @195.34.133.21 == 213.46.185.12 dig thepiratebay.org @212.186.211.21 == 213.46.185.12 toto su DNS od UPC, ty pouzivas asi ine, nie? Odpovedať Známka: 2.0 Hodnotiť:

Re: upc bratislava Od: opendns | Pridané: 27.1.2018 14:33 A preco pouzivas DNS od operatora, ked si na dsl tak si aspon trocha zdatny. OpenDNS - 208.67.222.222 · 208.67.220.220 Odpovedať Hodnotiť:

Re: upc bratislava Od: syntaxterrorX XX | Pridané: 27.1.2018 7:20 Do fixnutia Meltdown a Spectre je v pricipe kazdy na pc so zranitelnymi procesormi zobrazovany udaj nedoveryhodny, ale nahodny statny zoznam hazardne hry ponukajucich webov je priekazne mensi problem ako nevypnute slovensko.sk. Odpovedať Známka: 0.9 Hodnotiť:

Re: upc bratislava Od: Chupacabra | Pridané: 27.1.2018 18:41 Mám UPC a normalne otvorilo Odpovedať Hodnotiť:

Joshinkov bratrancov konov brat Od: Joshinkov bratrancov konov brat | Pridané: 27.1.2018 10:49 >>> V 10% prípadov zrejme prevzatý kód tejto služby ale nasmerovaný na iné servery. Ak manažovali servery samotní útočníci, nemuseli sa s prevádzkovateľom Coinhive deliť o vyťaženú menu. Alebo len mohli nasmerovať na proxy server, ktorý blokovače nemajú v databáze. Odpovedať Hodnotiť:

trvanie Od reg.: Pjetro de | Pridané: 27.1.2018 18:52 posledne slova clanku: "...a nedokázal ho promptne odstrániť." Problem imho nebol technickeho razu, ale organizacneho. Hadam si nemyslite ze v takom velkom molochu to malo byt odstranene za par hodin - ze admin alebo outsorsova firma si nieco zmysli a za hodinu zmeni stranku. Dokazete si predstavit kolko administrativy, byrokracie a alibizmu k tomu bolo treba? Odpovedať Známka: 10.0 Hodnotiť:

Re: trvanie Od: Koumak | Pridané: 27.1.2018 21:40 Veru aj obycajne statom pozadovane blokovanie domen po doruceni rozhodnutia este prechadza u kazdeho ISP niekolkymi stupnami a schvaleniami, nez to konecne dostane admin poziadavkou zapnut... Odpovedať Známka: 10.0 Hodnotiť:

Re: trvanie Od: Majk0 | Pridané: 17.2.2018 19:52 A nestačil by iba ten jeden node vypnúť na load balanceri? Odpovedať Hodnotiť:

Odpoveď Od: Otázka | Pridané: 27.1.2018 20:14 Nestačí len premýšľať.Stačí len odpovedať.Pozadu,veľmi pozadu... Odpovedať Hodnotiť:

blokovanie Od: werwe | Pridané: 27.1.2018 21:41 Opera ma yabudovanz blokovac miner scriptov, staci aktivovat (standardne je to vypnute) Odpovedať Hodnotiť:

Re: blokovanie Od: kreten1 | Pridané: 28.1.2018 21:30 ale nekecaj, nič tam také neni Odpovedať Hodnotiť:

Re: blokovanie Od: to som predsa ja | Pridané: 29.1.2018 15:09 nečítaš ? veď štandardne je to vypnuté... tak vypnuté, že to tam ani nie je Odpovedať Hodnotiť:

Re: blokovanie Od: to som predsa ja | Pridané: 29.1.2018 15:10 nečítaš ? veď štandardne je to vypnuté... tak vypnuté, že to tam ani nie je Odpovedať Hodnotiť:

Pridať komentár