Майнеры теснят вымогателей

В 2017 году атакам майнеров во всем мире подверглись 2,7 миллиона пользователей.

12 Марта 2018 15:10 Автор: Артур Мискарян
Майнеры теснят вымогателей, майнинговые скрипты, скрытый майнинг, Вредоносное ПО, Лаборатория Касперского

Исследователи «Лаборатории Касперского» обнаружили хакерские группировки, использующие методы и техники сложных целевых атак для распространения троянцев-майнеров. По данным экспертов, только за последние шесть месяцев 2017 года преступники получили таким образом несколько миллионов долларов.

По данным лаборатории, в 2017 году 2,7 миллиона пользователей подверглись атакам майнеров. Это почти на 50% больше, чем в 2016-м (1,9 миллиона).

«Они могли стать жертвами рекламного и пиратского программного обеспечения, контрафактных игр – всё это используется преступниками для скрытого заражения компьютеров», – сообщила «Лаборатория Каперского».

Эксперты отмечают, что атаки с помощью майнеров стали не только более распространёнными, но и изощрёнными: некоторые злоумышленники начали прибегать к технике целевых атак. Это первый случай, когда они используются для распространения майнеров.

Атака происходит следующим образом. Жертву вынуждают скачать и установить рекламную программу со скрытым майнером. Установщик работает как легитимная утилита для Windows, а его главная цель – скачать сам майнер с удалённого сервера. После начала исполнения программы запускается легитимный процесс, а его код изменяется на вредоносный. В результате троянец работает под прикрытием легитимного процесса, поэтому пользователь не может распознать заражение. К тому же хакеры делают так, что отменить задачу становится невозможно: при попытке остановить операцию система перезагружается. В результате преступники обеспечивают своё присутствие в системе на долгое время.

«Вымогательское ПО уходит в тень, уступая место майнерам. Это подтверждает и наша статистика, и тот факт, что киберпреступные группировки активно дорабатывают и совершенствуют свои методы. Теперь они начали использовать сложные техники заражения для распространения зловредов. Мы уже наблюдали подобные процессы раньше – хакеры-вымогатели прибегали к похожим уловкам, когда развивались наиболее активно», – комментирует Антон Иванов, ведущий антивирусный эксперт «Лаборатории Касперского».

Майнинговые скрипты – это мини-программы, которые встраиваются в сайты и позволяют своим создателям тайно использовать вычислительные ресурсы посетителей для добычи криптовалют. Сайты со скриптами внешне не вызывают подозрений, но, пока человек их просматривает, его компьютер или смартфон участвует в майнинговых вычислениях. Из-за этого возрастает нагрузка на центральный процессор: устройство начинает работать медленно, потребляет много энергии и перегревается.

«Майнинг через браузер крайне негативно влияет на систему пользователя, – говорит руководитель десктопного «Яндекс.Браузера» Роман Иванов. – Потенциально майнеры могут захватить до ста процентов мощности каждого процессорного ядра. При этом в диспетчере задач «Яндекс.Браузера» нагрузка на ЦПУ может даже превышать 100%, так как в этом случае показатели для каждого ядра суммируются».

«Яндекс.Браузер» анализирует, насколько загружен процессор во время просмотра сайтов. Возросшая нагрузка – сигнал, что на сайт могли добавить майнинговый скрипт.

Если проверка подтвердит наличие скрипта, браузер его заблокирует. Сайт продолжит работать, но майнеры не смогут использовать устройства посетителей в своих целях.

Защищать пользователей от майнинга «Яндекс.Браузер» начал в ноябре 2017 года. Разработчики составили список скриптов, которые применяют майнеры, и внедрили в браузер функцию их блокировки.

«Новые скрипты появляются практически каждую неделю, поэтому список нужно постоянно пополнять. Теперь браузер делает это автоматически – путём анализа нагрузки на центральный процессор пользователя. Такой подход позволяет реагировать на появление новых скриптов максимально быстро», – комментируют в «Яндексе».

Использование загрузки процессора как индикатора, полагают в «Лаборатории Касперского», может и не дать надежного результата, хотя её использование для информирования считают оправданным.

«Майнинговые скрипты умеют ограничивать загрузку, чтобы вызывать меньше подозрений», – комментируют в лаборатории.

Решения для борьбы с майнинговыми скриптами предлагают не только разработчики антивирусов. Для браузеров, в частности, предлагаются бесплатные расширения, например AdBlock и AdBlock Plus.

Артур Мискарян