営業担当者へ連絡
ホーム   /  マルウェア  / ブラウザ内でのクリプトジャッキングが全開!
ブラウザ内でのクリプトジャッキングが全開!

ブラウザ内でのクリプトジャッキングが全開!

著者 プラシャント・カダム
プラシャント・カダム
マルウェア
5
株式

ビットコインのような暗号通貨、 Moneroお絵かき、 Litecoin, の三脚と テゾス である 全体像を スイング。 そして指数関数的に増加した 暗号化のマイニング (または クリプト鉱業) 活動。以前は, クリプト鉱業 強力で専用のマイニングハードウェアや分散コンピューティングを利用して実行された。   全体のプロセスには 大量の計算。 しかし、 鉱業の動向には目に見える変化があったさて、ウェブbボート漕ぎの選手たちが参加している クリプト鉱業 ブラウザマイニングで使用される計算能力が ハードウェアマイニングに必要な量よりもはるかに少ない。 使い方 ウェブ 暗号通貨をマイニングするブラウザは ブラウザ内 クリプトジャッキ. 

Quick Heal Security Labs は、Coinhive ブラウザ マイニング サービスによって侵害されたいくつかの人気 Web サイトを発見しました。

何ですか コインハイブ?

Coinhive は、「Monero」ブロックチェーン用の Javascript マイナーを提供するブラウザ マイニング サービスです。 ウェブサイトに簡単に埋め込むことができます。ユーザーがCoinhiveが埋め込まれたウェブサイトにアクセスすると、マイナーサービスがウェブブラウザ上で実行され、Monero XMRのマイニングを開始します。.

多くの企業が、ウェブサイトにJavaScriptコードを組み込むことで、このブラウザマイニングサービスを利用していると思われます。このコードは、訪問者のCPU時間とエネルギーを消費し、CoinhiveのXMR(Monero)マイニングに利用されます。Coinhiveは、その見返りとして、マイニングされた価値の一定割合をウェブサイト所有者に支払います。

私たちの分析

Quick Heal Security Labsでは、有名なトレント検索エンジン「Pirate Bay」のプロキシサービスの一つに、Coinhiveマイナーサービスが注入されていることを発見しました。下の図1は、Pirate Bayのウェブページに注入されたコンテンツを示しています。

図1. Pirate BayウェブサイトのFiddlerセッションのスクリーンショット
図1. Pirate BayウェブサイトのFiddlerセッションのスクリーンショット

Coinhiveの公式情報によると、「OT1CIcpkIOCO7yVMxcJiqmSWoDWOri06」はユーザーサイトキーであり、スロットルはCPU使用率を制限するために使用されます。スロットルレベルは以下の通りです。

スロットル: 0 – CPU 使用制限は100%

スロットル: 0.3 – CPU使用率を80%に制限

スロットル: 0.5 – CPU使用率を50%~70%に制限%

Pirate Bayウェブサイトにアクセスした後、CoinHive.min.jsが実行され、マイニングが開始されました。CPU使用率は、定義されたスロットルレベル(0.5)の上限に達しました。一部のウェブサイトでは、特定のブラウザインスタンスが計算の50%~70%を占有するように、スロットルレベルが2に設定されています。図XNUMXは、Pirate Bayウェブサイトにアクセスした後のブラウザとシステム全体のCPU使用率を示しています。

図2. Pirate Bayにアクセスした後のCPU使用率
図2. Pirate Bayにアクセスした後のCPU使用率

「CoinHive.min.js」ファイルで観察されたもう一つの重要な点は   使用 WebAssembly具体的には、 ウェブ ブラウザも同様です へ 低レベルアセンブリ-l実行される言語 ネイティブに近いパフォーマンスは、マイニング機能の実装で Web アセンブリを使用する主な要因です。 

図3. WebAssemblyモジュールの統合
図3. WebAssemblyモジュールの統合

WebAssemblyは CryptonightWASMラッパー ハッシュを生成するためのWebアセンブリハッシュ関数。これは、任意のサイズのデータ​​を固定サイズのデータ​​にマッピングし、ランダム関数と同様に動作する、効率的に計算可能な関数です。

このマイニング活動は悪意のあるものではありませんが、システム所有者の承認なしに実行され、CPUパワーを消費するため、システムパフォーマンスが低下します。これはユーザーの負担となり、作業に大きな支障をきたします。

セクライト d切除

  • Seqrite は、このようなブラウザ内 Cryptojacking 攻撃を検出するための汎用検出機能をリリースしました。
  • これらの一般的な検出は、当社製品の複数のセキュリティ レイヤーにまたがります。

検出タッツ
Seqriteは、検出されたCoinhiveマイナーの活動をブロックすることに成功しました。以下は、過去数週間のこれまでの傾向です。

図4. Quick Heal Security Labsで観察された検出傾向
図4. Quick Heal Security Labsで観察された検出傾向

ブラウザ内マイニングは、ウェブサイト所有者やマイニングサービスプロバイダーにとって、収益を生み出す非常に簡単な方法です。Coinhiveと同様に、JSEcoin、MineMyTraffic、CryptoLoot、CoinNebulaといったサービスプロバイダーもこの活動に参加しています。ブラウザ内マイニングは悪意のある行為ではありませんが、許可されていないマイニングやCPUの過剰な使用は許容されるべきではありません。また、1つの人気ウェブサイトが侵害されると、多くのユーザーに支障をきたす可能性があります。

マルウェア作成者は、悪意ある目的を達成するためにこれらのマイニングサービスを利用しています。システムでこのようなマイニング活動が行われないよう、疑わしいウェブサイトの閲覧は避け、ウイルス対策ソフトを最新の状態に保つことをお勧めします。

参考情報

https://www.seqrite.com/blog/massive-campaign-delivering-monero-miner-via-compromised-websites/ 
https://www.seqrite.com/blog/beware-of-fake-cryptocurrency-mining-apps-a-report-by-quick-heal-security-labs/

主題専門家
プラシャント・カダム | クイックヒール・セキュリティ・ラボ

プラシャント・カダム

プラシャント・カダムについて

Prashant Kadamは、Quick Heal Security LabsのHIPS(ホストベース侵入防止システム)チームに所属しています。彼はこれまで、様々なセキュリティ脆弱性の調査に取り組んできました。

プラシャント・カダムによる記事 »

関連記事