Vivaldi Technologies



Malware miner kryptovaluta gennem inficeredes browsere

Hackere bruger såkaldt ‘malvertising’ placeret på hjemmesider til at mine krypto-valuta gennem den besøgendes browser.

Dette er fundet på russiske og ukrainske hjemmesider, hvor et reklamenetværk har ladet hackerne afvikle reklamer indeholdende JavaScript.

Denne kode er en modificeret udgave af MineCrunch (også kendt som Web Miner), der blev udviklet i 2014. Scriptet kan mine krypto-valutaer gennem den JavaScript, der afvikles ved besøg på et website, hvor reklamen er placeret.

For at skjule misbruget af brugeres computerkraft, er hackernes malvertising primært placeret på sider, der serverer videoindhold eller har browserbaserede spil.

Sikkerhedsselskabet ESET har opdaget miningen og melder, at det virker med Monero, Feathercoin og Litecoin. Det er dog kun Monero, hackerne har gået efter.

ESET fandt også en anden gruppe, som i stedet lagde Javascripten direkte på sitet. Her er det uklart, om sitet var blevet hacket, eller ejerne var med på idéen om at misbruge de besøgendes computerkraft.

I alle tilfælder stopper miningen, når man forlader den inficerede hjemmeside.

Der kendes lignende tilfælde af browser-mining fra 2011 og 2015.





Gå til bund
Gravatar

#1 mrtb 18. sep. 2017 14:41

Kunne det her blive en ny indtægtskilde for hjemmesider? I stedet for reklamer, så er samtlige besøgende med til at mine en eller anden valuta.

En hjemmeside som FB ville alligevel kunne mine en hel del, og skulle pludselig ikke belemre folk med reklamer.
Gravatar

#2 demolition 19. sep. 2017 12:11

TBP bruger det aktivt som alternativ til synlige reklamer:
https://www.version2.dk/artikel/javascript-mining-...
Gravatar

#3 _tweak 19. sep. 2017 18:04

#2 problemet er vist at beløbet man får ud er 4-5 gange mindre end hvad display reklamer giver, i dette eksempel: https://medium.com/@MaxenceCornet/coinhive-review-...

Citat: "So I made 0.00947 XMR in 60 hours, a whopping $0.89, that’s $0.36 a day" - det er ved 1k/brugere
Gravatar

#4 Lynderup 19. sep. 2017 18:58

Er det tilfældigt at denne nyhed lige har været her og newz.dk bruger 70% af min cpu når den er åben?
Gravatar

#5 _tweak 19. sep. 2017 19:03

#4: Vi har kørt test på det og skruet ned for reklamerne i mellemtiden. Men efter at have testet det i en række browsere, lader det til at der generelt er et problem med at det ikke "slapper nok af".
Gravatar

#6 bzndk 20. sep. 2017 00:10

_tweak (5) skrev:
#4: Vi har kørt test på det og skruet ned for reklamerne i mellemtiden. Men efter at have testet det i en række browsere, lader det til at der generelt er et problem med at det ikke "slapper nok af".



Det er jo klart når i har sat det ret så forkert op er det ikke?

<!-- testing coinhive -->
<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('fXd90CdmCRKewozvkAqBhllKwXBw33j9');
miner.setThrottle(0.99);
//miner.start();
</script>
<!-- /testing coinhive -->

Nu har jeg også leget lidt med det.

1) i skal sætte et antal af threads på den må bruge.
2) Slå autoThreads fra
3) Sørg for det max køre en en tab.

Et lille eksempel

<script src="https://coin-hive.com/lib/coinhive.min.js"></script>

<script>
var miner = new CoinHive.User('', 'test', {
threads: 1,
autoThreads: false,
throttle: 0.5,
forceASMJS: false
});
miner.start(CoinHive.IF_EXCLUSIVE_TAB);
</script>

Så kunne det være der kom et lidt bedre resultat ud af jeres test :)

Kan sige så meget at hvis det er sat til 1 Thread og med en throttle på 0.7 er det en 5-6% på en i7 hvilket vel ikke kan siges er for meget.
Gravatar

#7 CBM 20. sep. 2017 03:40

Jeg kan se at vi er nået til et punkt på nettet hvor man skal til at være ekstra selektiv mht hvilke scripts man lader køre

#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet!
Gravatar

#8 bzndk 20. sep. 2017 05:50

CBM (7) skrev:
Jeg kan se at vi er nået til et punkt på nettet hvor man skal til at være ekstra selektiv mht hvilke scripts man lader køre



Tja der bliver altid fundet nye metoder til at generere indkomst, men kan det i sidste ende betyde færre reklamer, ved at lade eks newz udnytte 5-10% af din cpu så er der vel ikke det store problem i det.
Gravatar

#9 _tweak 20. sep. 2017 05:51

#6: Default settings ifølge dokumentationen er for threads "The number of threads the miner should start with. The default is navigator.hardwareConcurrency, i.e. the number of CPU cores available on the user's computer" (vi har prøvet fra 1 til 4), throttle er 0 (vi har prøvet med en række værdier fra 0.4 til 0.99), og den kører pr. default kun i én tab (se dokumentation for start - vi har prøvet stort set alle kombinationer).

Det er altsammen i dokumentationen: https://coin-hive.com/documentation/miner

Vi har haft i alt 12 forskellige setups oppe at køre - jeg kan afsløre at vi synes throttle 0.5 stadig bruger forholdsvist meget CPU også i 1 tråd, 1 tab (eller, mere end "unnoticed" i hvert fald, på en "standard" internet-surf-maskine).

#7: Hvis CoinHive bliver relevant, bliver det selvfølgelig ikke et script der kører for de brugere med abonnement. Til gengæld kunne det stå i stedet for reklamerne - eventuelt bliver det et enten/eller valg.
Gravatar

#10 _tweak 20. sep. 2017 05:57

#6: mht. autoThreads, så er den default false (experimental), ligesom forceASMJS er default false - og CoinHive.IF_EXCLUSIVE_TAB er default setting for start().
Gravatar

#11 _tweak 20. sep. 2017 07:36

Nå, coinhive lader umiddelbart til at have triggeret anti-virus-programmer til at mene der er trojansk hest på newz.. eller også er det WP's default emoji-værk :) spændende er det i hvert fald :)
Gravatar

#12 CBM 20. sep. 2017 07:51

@tweak:

jeg kan se ideen i det som alternativ til reklamer, forudsat 3 ting:

1) at det kan komme til at generere tilstrækkelig indtægt
2) at det kan garanteres til at være malware fri (CoinHive evt. m.fl. skal holde deres sti ren)
3) at det ikke sluger så megen CPU og/eller GPU kraft at maskinen halter

jeg forudser at hvis CoinHive m.fl. på noget tidspunkt, enten bevist eller ubevist, bliver bærer af malware via deres JS filer, så vil der blive udviklet Mining Blockers i stil med de nuværende AD Blockers...

Jeg vil gætte på at AD Blockers kun eksisterer i dag pga. reklamerne udviklede sig til at blive for påtrængende og

grunden til at de nu er installeret alle steder,
er at de også begyndte at blive misbrugt til at distribuere malware

#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet!
Gravatar

#13 bzndk 20. sep. 2017 07:55

Stadig min oplevelse man er nød til at difinere tingene før det giver det resultat det burde.

Hvis du burger MalwareBytes så pinger den ud da den opfatter det som Suspicious tåbeligt som det er hehe.
Gravatar

#14 _tweak 20. sep. 2017 08:03

#13: ESET lader også til at detecte det som virus. Aka; ubrugeligt :-(

#12: Adblockers eksistens kan man vist lave en hønen og ægget om - brugerne betaler ikke for content, så content bliver dårligere, flere reklamer for at opveje mindre indtjening, brugere vil betale endnu mindre for content fordi det nu er dårligt, de enabler adblocker, publishers tjener endnu færre penge og smider flere reklamer på, betalingen for reklamerne falder fordi folk bliver reklameblinde, its goes on and on.. :)

Det er umuligt at garantere at CoinHive ikke bliver inficeret af malware, ligesom det er umuligt at garantere at newz.dk i sig selv ikke bliver det. Faktum er dog, at det koster penge at drive newz - og i den optik (eller i min optik) er CoinHive et fint alternativ. ... altså hvis ikke lige det var den blev triggered som virus.
Gravatar

#15 bzndk 20. sep. 2017 08:06

CBM (12) skrev:
@tweak:

jeg kan se ideen i det som alternativ til reklamer, forudsat 3 ting:

1) at det kan komme til at generere tilstrækkelig indtægt
2) at det kan garanteres til at være malware fri (CoinHive evt. m.fl. skal holde deres sti ren)
3) at det ikke sluger så megen CPU og/eller GPU kraft at maskinen halter

jeg forudser at hvis CoinHive m.fl. på noget tidspunkt, enten bevist eller ubevist, bliver bærer af malware via deres JS filer, så vil der blive udviklet Mining Blockers i stil med de nuværende AD Blockers...

Jeg vil gætte på at AD Blockers kun eksisterer i dag pga. reklamerne udviklede sig til at blive for påtrængende og

grunden til at de nu er installeret alle steder,
er at de også begyndte at blive misbrugt til at distribuere malware



1) Mange begge små gør en stor å.
2) Kildekoden kan alle gå igennem der er ikke gjort noget for at skjule noget som helst - og hvis man selv hoster JavaScript filen er eneste mulighed for et attack hvis der bliver fundet fejl i WebSocket protokollen, da det stadig ville tage kontakt til Coin-Hive for at sende og modtage data.
3) GPU har man slet ikke fokuseret på endnu, da WebGL ikke er optimalt til GPU mining, CPU mining er hver enkelte sides moral der afgøre hvor meget der bliver brugt.

Og kan desværre fortælle dig din teori ikke holder stik, der er allerede flere AdBlockere der blokere for CoinHive, samt der er udviklet et Chrome Plugin til at blokere netop for Browser Mining, så den teori holder ikke vand.
Gravatar

#16 bzndk 20. sep. 2017 08:12

_tweak (14) skrev:
#13: ESET lader også til at detecte det som virus. Aka; ubrugeligt :-(

#12: Adblockers eksistens kan man vist lave en hønen og ægget om - brugerne betaler ikke for content, så content bliver dårligere, flere reklamer for at opveje mindre indtjening, brugere vil betale endnu mindre for content fordi det nu er dårligt, de enabler adblocker, publishers tjener endnu færre penge og smider flere reklamer på, betalingen for reklamerne falder fordi folk bliver reklameblinde, its goes on and on.. :)

Det er umuligt at garantere at CoinHive ikke bliver inficeret af malware, ligesom det er umuligt at garantere at newz.dk i sig selv ikke bliver det. Faktum er dog, at det koster penge at drive newz - og i den optik (eller i min optik) er CoinHive et fint alternativ. ... altså hvis ikke lige det var den blev triggered som virus.


ESET har jeg kun dårlige erfaringer med det var super godt i starten kan jeg huske men de faldt af vognen det begyndte at sløve computeren, og false detection gik helt amok.

Det sidste års tid har jeg kørt Avira og mærker virkelig ikke til det er der.

Tja og udviklingen af metoder til at blokere for AdBlocker brugere vokser og vokser, i takt med brugen af AdBlockers vinder mere og mere indpas.

Og på et tidspunkt rammer enten Anti Adblocker eller Adblockere en mur.
Gravatar

#17 CBM 20. sep. 2017 08:13

#15: ok, var ikke klar over at der allerede bliver blokeret for mining....

men mener stadig at de fleste kører adblockers i dag af frygt for malware, pga bl.a. google o.a. lader til at være totalt kolde overfor dels "kvaliteten" og "sikkerheden" af de reklamer de viser..

super ærgeligt, da de reklamer der generelt vises på newz.dk ikke virker særligt intrusive IMO... og derved har en ok "kvalitet"..
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet!
Gravatar

#18 _tweak 20. sep. 2017 08:15

#16: ja jeg kan også læse mig til at de er pænt trigger-happy - og ikke særlig responsive på deres support. Oh joy.. men samtlige online services vi har brugt til at scanne sides (inkl. alle javascript filer der loades - inkl. virus-databaser) melder ikke noget galt med newz.dk - undtagen ESET der, så vidt vi kan se, mener coin-hive er virus..
Gravatar

#19 CBM 20. sep. 2017 08:18

findes der metoder til at scanne reklamer fra google o.a. for malware/virus mv. sådan at man kan give brugere nogenlunde sindsro hvis de skulle beslutte sig for at whiteliste newz.dk ?
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet!
Gravatar

#20 _tweak 20. sep. 2017 08:25

#19: ikke rigtig desværre. vi kan ikke detailstyre - eller jo, det kan vi godt, så skal vi bare have en mand ansat til at sidde og gøre netop det, for der skal pumpes så mange forskellige kampagner igennem på en dag. men det vil så også sluge alt indtjeningen fra samme (og ikke fjerne adblockere af den grund).

CoinHive er ultimativt et rigtig godt take på en reklamefri verden. Man 'betaler' med sin CPU, men bliver ikke invaderet af reklamer eller cookies. Problemet er, at som bzndk nævner, så skal der bare én linie til i en block-fil, og så vil hundredevis af millioner af adblockere, blokkere CoinHive også...

Problemet i sidste er nok, at de færreste har sat sig ind i (eller bekymrer sig om) hvad der kommer på den anden side af reklamerne. Hvad sker der, når reklamerne ikke længere kan være indtægtsbærende for de store (eller små) nyhedssider. Et bud er native advertisement, advertorials, affiliate-marketing, paid reviews,.. altsammen noget der reelt ændrer den information, der før var holdt fri for reklamer.
Gravatar

#21 bzndk 20. sep. 2017 08:44

Tja - de fleste malware attacks er 0-day attacks, ergo ingen scanner tager dem det første døgn eller to før det bliver opdaget, så der er ingen sikkerhed any ways.

Og det er langt fra kun via reklame, største delen af tilfælde er hackede sites.

Se på EB, BT, JP, alle nyhedsmedier idag, deres gode relevante artikler koster penge, og hvad er grunden til det? Forbrugernes forbrug af adblocker :)
Gravatar

#22 demolition 20. sep. 2017 08:45

Uden at have regnet på det, så antager jeg at min strømregning for min CPU skal bruge kræfter på javacript mining er dekader højere end det som hjemmesiden tjener hjem på det, så det virker som en ret tosset løsning i mine øjne og et gigantisk ressourcespild. Vi har brug for at vores computere bruger mindre strøm og ikke mere..
Gravatar

#23 CBM 20. sep. 2017 08:54

@tweak:
sider som techstart.dk benytter sig af sponserede "nyheder", som så på den måde bliver en slags reklamer som er garanteret fri for snavs.
Måske kunne man lave den slags artikler evt uden mulighed for at kommentere på de pågældende artikler og evt således at de pågældende artikler kun vises for dem der ikke har abb.
Dog skulle der nok laves en hvis automation af det, da det ellers ville blive et stort arbejde vil jeg gætte på.
Hvis det giver et stort nok indtjenings grundlag, så kunne man fjerne de øvrige reklamer og vise siden i "fuld skærm"

@bzndk:
JP.DK m.fl. har abb på visse artikler fordi ingen gider en fysisk avis mere pga bl.a. online nyheder... medmindre den er gratis som fx metro express!

@demolition:
enig, der vil være og er tale om et stort resource spild

#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet!
Gravatar

#24 _tweak 20. sep. 2017 09:14

#23: Der er bare ikke en uudtømmelig brønd af kunder der står og venter på sponserede nyheder. Vi har haft meget få henvendelser de sidste to år; og den eneste vi er hoppet på var til Black Friday. Oven i det kommer man ikke uden om at sponserede nyheder er manuelt arbejde, hvorimod reklamenetværk virker, når det er sat op - og netop fordi der er så få requests, er der ingen tegn på at automation bliver realistisk.

#22: Jeg har heller ikke regnet på det, men jeg formoder du har ret. Det mindste resourcespild ville fremkomme hvis man tegnede et abonnement - for reklamerne æder også CPU og trafik.
Gravatar

#25 arne_v 20. sep. 2017 15:42


Tja - de fleste malware attacks er 0-day attacks, ergo ingen scanner tager dem det første døgn eller to før det bliver opdaget, så der er ingen sikkerhed any ways.


De fleste successfulde malware attacks.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login