Malware de mineração de criptomoedas Coinhive explora a rede de anúncios on-line do DoubleClick do Google

O número de detecções de Web miner da Coinhive triplicou como resultado de campanhas de publicidade mal-intencionadas e agressivas em redes de publicidade on-line, de acordo com a empresa de segurança Trend Micro .

Os pesquisadores da empresa descobriram recentemente que os criminosos cibernéticos estão implantando anúncios em sites de alto tráfego que usam o Coinhive, bem como serviços de mineração web separados que se conectam a pools privados.

Os atacantes também estão tocando na rede de publicidade do Google DoubleClick, que domina a publicidade online. Os países particularmente afetados incluem Japão, França, Taiwan, Itália e Espanha, segundo a Trend Micro.

Bloquear aplicativos baseados em JavaScript de execução em navegadores pode impedir que mineiros de Coinhive usem recursos de CPU

A empresa disse que divulgou suas descobertas no Google. "Detectamos um aumento de quase 285 por cento no número de mineiros de Coinhive em 24 de janeiro. Começamos a ver um aumento no tráfego para cinco domínios mal-intencionados em 18 de janeiro", afirmou.

"Depois de examinar de perto o tráfego da rede, descobrimos que o tráfego veio de anúncios da DoubleClick".

Depois de analisar páginas "malvadas", os especialistas em segurança identificaram dois scripts diferentes de mineradora web, bem como um que exibe anúncios usando o DoubleClick.

As páginas da Web enganam os usuários mostrando propagandas legítimas enquanto "os dois mineros da Web executam secretamente suas tarefas". Eles não sabem que isso está acontecendo.

A Trend Micro explicou: "Nós especulamos que o uso desses anúncios por parte dos atacantes em sites legítimos é uma estratagema para atingir um número maior de usuários, em comparação com apenas os dispositivos comprometidos".

Os anúncios usam um código JavaScript "que gera um número aleatório entre as variáveis ​​1 e 101". É capaz de minerar 80 por cento do poder de CPU do computador, disse a empresa.

"Depois de desnaturalizar o mineiro da rede privada chamado  mqoj_1.js , haverá um código JavaScript que ainda é baseado em Coinhive", explicou a empresa.

"O mineiro da Web modificado usará um grupo de mineração diferente em wss [:] // ws [.] L33tsite [.] Info [:] 8443. Isso é feito para evitar a taxa de comissão de 30% da Coinhive".

Para evitar este problema, a Trend Micro continuou: "Bloquear aplicativos baseados em JavaScript de execução em navegadores pode impedir que mineiros de Coinhive usem recursos de CPU", acrescentou a empresa.

"Regularmente corrigir e atualizar o software - especialmente navegadores da Web - pode mitigar o impacto do malware de criptografia e outras ameaças que exploram as vulnerabilidades do sistema".

FONTE:V3.CO