Хакеры смогли встроить в рекламу на видеохостинге инструмент для майнинга криптовалюты.
Одна из самых неприятных разновидностей скрытого майнинга – браузерный майнинг, когда устройства простых посетителей сайтов используются для добычи криптовалюты (разумеется, без ведома самих пользователей). Еще в начале прошлой недели пользователи начали массово жаловаться в социальных сетях, что при посещении YouTube срабатывают антивирусные программы, сообщающие о скрытом майнере Coinhive на сайте.
В конце недели аналитики компании Trend Micro сообщили, что майнинговые скрипты проекта Coinhive действительно добрались даже до YouTube, куда криптоджекинг проник посредством рекламной платформы Google DoubleClick.
По данным исследователей, вредоносная кампания, с использованием Google DoubleClick и скриптов JavaScript, внедренных в рекламные объявления, стартовала еще 18 января 2018 года, и резко набрала обороты 23 января, что совпадает с жалобами пользователей. Сообщается, что большинство пострадавших находились в Японии, Франции, Италии, Испании и на Тайване.
Специалисты пишут, что атакующие использовали два майнинговых скрипта. Первая разновидность представляла собой обычный вариант Coinhive, который проект предлагает всем своим клиентам. Но вторая разновидность, использовавшаяся примерно в 10% случаев, являлась кастомной разработкой самих злоумышленников и позволяла им не отдавать 30% криптовалютной прибыли операторам Coinhive. Оба скрипта поглощали приблизительно 80% ресурса пользовательских CPU и добывали криптовалюту Monero.