На сайте партнера BlackBerry найден скрытый криптокод

смартфон на клавиатуре ноутбука

На сайте Blackberry, который обслуживается его партнером по производству мобильных телефонов, был найден нелегальный майнинговый криптокод – и это совсем недавний пример того, как хакеры захватывают веб-сайты, чтобы украсть циклы процессора и получить при этом деньги, а в некоторых случаях и перекинуть майнинговый код на ничего не подозревающих посетителей.

На прошлой неделе посетитель сайта BlackBerryMobile.com, который продвигает мобильные телефоны Blackberry на базе Android, производимые китайской компаний TCL Communications, обнаружил, что этот сайт использует код Coinhive – JavaScript майнера для Monero.

В своем электронном письме ITWorldCanada.com представитель BlackBerry Ltd. сказал, что кто-то предупредил его об «уязвимости системы безопасности сайта BlackBerryMobile.com». После этого сообщения и нашей собственной проверки компания BlackBerry быстро связалась с нашим партнером в TCL и временно перенаправила наши ссылки на сайте BlackBerryMobile.com на страницы BlackBerry.com. Еще ни разу не удавалось взломать BlackBerry.com.

«TCL создал новый сайт с частичным контентом и сейчас сотрудничает с BlackBerry, чтобы усилить безопасность своего сайта для предотвращения будущих кибератак».

Компанию TCL, подписавшую пятилетний контракт в конце 2016 года о том, что она является производителем мобильных телефонов BlackBerry и берет на себя управление сайтом BlackBerryMobile.com, попросили прокомментировать ситуацию, которая разыгралась 8 января, но ответа до сих пор так и не дождались.

Неизвестно, был ли сайт BlackBerryMobile.com взломан посторонними лицами или «своими», которые просто ввели код. Вот вам и еще один пример того, на что готовы люди, жаждущие вычислительной мощности для майнинга крипты.

Канадским организациям, у которых есть свои сайты, следует внимательнее изучить свои коды. Терри Катлер, вице-президент по кибернетике в экспертно-криминалистической фирме Sirco Group, во вторник заявил, что его компания недавно обнаружила код криптомайнинга CoinHive на сайте клиента во время обычного теста на проникновение.

По его словам, код вводился в браузеры посетителей. Если жертва закрывала браузер на своем компьютере, то сеанс завершался не до конца. Вместо этого браузер «сжимался» так, чтобы его было незаметно на рабочем столе, и продолжал использовать процессор для выполнения вычислений, необходимых для майнинга.

Расследование только началось, и, как утверждает Катлер, он не знает, был ли код введен бывшим сотрудником или хакером.

Использование чужого компьютера для криптомайнинга – явление не новое. Прошлой осенью вспыли отчеты некоторых веб-сайтов, которыми воспользовались подобным образом: возможно, они были взломаны, а может этому помогли и сами владельцы сайта. Иногда код вводился в браузеры ничего не подозревающих пользователей. Это можно понять сразу: циклы процессора неожиданно начинают скакать, что замедляет работу системы. Тот, кто этот код контролирует, и получает цифровую валюту.

В октябре прошлого года новостной сайт The Register сообщил о том, что американский политический сайт Politifacts и сайт шоу CBS-TV show Showtime, судя по всему, были взломаны, поскольку в браузеры тех, кто посещал эти сайты, вводился майнинговый код.

Криптомайнингом занимаются не только на компьютерах. В октябре японская компания-разработчик ПО для кибербезопасности Trend Micro рассказала о поиске в Google Play майнинг-приложений для мобильных телефонов на Andrioid.

При поиске майнингового кода CoinHive и JSEcoin на топ-100 000 веб-сайтах по версии Alexa, блокировщик рекламы AdGuard обнаружил 220 сайтов с кодом в браузере. Большинство из них – американские, индийские, российские и бразильские сайты. Такой майнинг необязательно вредоносный, если пользователям сообщают, что циклы их процессора используются подобным образом, а они соглашаются на это. Но многим, конечно, не предоставляется такой информации.

Появились сообщения о том, что сеть доставки контента CloudFlare приостановила работу сайта, который без предупреждения ввел код CoinHive в компьютеры посетителей.

По словам Катлера и руководителя операций в ванкуверской компании Canadian Ethical Hackers Стивена Брайанта, этот инцидент доказывает, насколько важно организациям пристально следить за кодами своих веб-сайтов и быть в курсе, кто имеет к ним доступ.

Сюда входит строгий контроль доступа, включая и двухуровневую авторизацию для веб-разработчиков, а также проверка того, что при уходе сотрудников их учетные записи удаляются. Катлер признался, что трудно определить, управляют ли кодом именно сотрудники, поскольку обычно их учетные записи не контролируются. Вот почему, как утверждает Катлер, постороннее лицо, контролирующее вашу среду – вполне хорошая идея.

Также Брайант заявил, что руководители отделов IT-безопасности должны думать, как спортивная команда. Другими словами, у них должны быть стратегии атаки и защиты, а если возможно, то и собственная «группа захвата». А если нет, то нужно регулярно нанимать стороннюю организацию, которая проведет тест на проникновение. Ориентированные, главным образом, на кражу личных данных, преступники легко могут получить код сайта, когда вводятся пароли и личные данные. Поэтому, согласно Брайанту, ограничить доступ к коду и использовать двухуровневую аутентификацию – просто крайне необходимо. «Вам нужно, чтобы как можно меньше людей имели доступ к коду», чтобы его изменить.

Криптомайнеры разоряют организации. Coinhive – «самое разыскиваемое» вредоносное ПО

Согласно недавним исследованиям Check Point, вредоносные программы криптомайнинга доставляют проблемы организациям и их компьютерам, поскольку владельцы сайтов пытаются вернуть себе прибыль.

Блог исследовательской группы одной компании обнаружил, что криптомайнеры сейчас атакуют 55% организаций по всему миру, согласно данным ThreatCloud на декабрь 2017 года.

Криптомайнеры могут использовать мощность процессора или видеокарты для майнинга криптовалют.

В декабре 2017 года популярный криптомайнер Coinhive занял первое место в рейтинге ТОП-10 «самых разыскиваемых» вредоносных программ, в то время как Cryptoloot занял третью позицию, а Rocks закрепился на десятом месте.

В октябре 2017 года исследователи Trustwave’s SpiderLabs рассказали, что иногда майнеры Coinhive могут использовать 100% мощности процессора, а пользователям компьютеров никакой выгоды это не приносит.

Позже исследователи Check Point объясняют, что доходы от рекламы веб-сайтов резко сократились из-за рекламных блокировщиков, которые фильтруют баннерную и всплывающую рекламу.

В конце концов, некоторые веб-сайты инвестируют в криптомайнеры, как в новый источник дохода, однако посетители сайта даже не подозревают об этих майнерах и не дают разрешение на майнинг.

«Злоумышленники обращаются к вредоносным криптопрограммам, как к новому источнику прибыли: они незаконно получают доступ к мощности процессора пользователей для майнинга крипты, и скоро мы увидим, что эта тенденция в ближайшие месяцы наберет обороты», – говорят исследователи.

Check Point составила список «самых разыскиваемых» вредоносных программ:

  1. Coinhive — криптомайнер, использующий код JavaScript для майнинга коинов
  2. Rig ek – эксплойты для Flash, Internet Explorer, Java и Silverlight
  3. Cryptoloot – криптомайнер-конкурент Coinhive
  4. Roughted – вредоносная реклама, использующая рекламное ПО, эксплойты, вирусы-вымогатели и мошенничество
  5. Fireball – угонщик браузера, который может превращаться во вредоносный загрузчик с несколькими функциями
  6. Globeimposter – вирус-вымогатель, имитирующий вымогатель Globe. Распространяется через эксплойты, вредоносную рекламу и спам
  7. Ramnit – банковский троян, который крадет банковские реквизиты, личные данные, FTP-пароли и cookie-файлы сеанса
  8. Virut – бот-сеть, которая участвует во многих атаках, включая DDoS, кражу данных, мошенничество и спам. Распространяется через исполняемые файлы и взломанные HTML.
  9. Conficker – контролируемая бот-сетями программа, которая может загружать вредоносное ПО и разрешать удаленные операции.
  10. Rocks – криптомайнер

ТОП-3 «самых разыскиваемых» мобильных вредоносных программ, включая три вредоносные ПО для Android (по состоянию на декабрь):

  1. Triada – вредоносное ПО для Android, которое работает как модульный инструмент для обхода защиты и помогает вредоносным ПО воспользоваться привилегированными пользователями
  2. Lokibot – банковский троян для Android, который крадет данные и превращается в вирус-вымогатель
  3. Lotoor – хакерский инструмент для Android, предоставляющий злоумышленникам полномочия пользователей root.
Понравилась статья? Поделиться с друзьями:
MegaChange

Отправить ответ

avatar
  Подписаться  
Уведомление о