ترفند جدید مهاجمان برای استخراج ارز رمز در مرورگر کاربران

محققان نسبت به فعالیت گسترده کارزاری سایبری هشدار داده‌اند که در جریان آن با بهره‌گیری از یکی از سرویس‌های ابزار معروف CoinHive، مرورگر مراجعه‌کنندگان به سایت‌های هک شده وادار به استخراج ارز رمز به نفع گردانندگان این کارزار می‌شود.

ابزار Coinhive شامل کتابخانه‌ای از کدهای JavaScript است که در زمان عرضه آن در حدود یک سال قبل، سازندگانش آن را به‌عنوان جایگزینی برای تبلیغات سنتی دارندگان سایت‌ها معرفی کردند. به این ترتیب که صاحبان سایت می‌توانند با بکارگیری این ابزار در صفحات خود سبب استخراج ارز رمز با استفاده از منابع پردازشگر دستگاه کاربر بازدید کننده از صفحات سایت شوند.

با این حال از زمان معرفی CoinHive، تبهکاران سایبری از آن به‌طور گسترده‌ای برای استخراج ارز رمز در سایت‌های هک شده استفاده کرده‌اند. موضوعی که سبب گردید برخی برنامه‌های امنیتی و محصولات ضدویروس به اسکریپت‌های CoinHive همانند یک برنامه واکنش نشان داده و اجرای آنها را متوقف یا از ورود کاربر به سایت‌های حاوی این اسکریپت‌ها جلوگیری کنند.

به گزارش شرکت مهندسی شبکه گستر، اما ابزار CoinHive دارای قابلیتی کمتر شناخته شده با عنوان “Link Forwarding” است که دارنده سایت را قادر می‌سازد تا پیش از فراخوانی سایت اصلی، برای مدتی کوتاه دستگاه کاربر اقدام به استخراج ارز رمز کرده و سپس سایت اصلی نمایش داده شود.

بررسی‌های شرکت ملوربایت نشان می‌دهد که مهاجمان با هک صدها سایت معتبر و تزریق یک HTML iFrame، با اندازه 1 در 1 پیکسل و حاوی کدهای CoinHive Link Forwarding، مرورگر مراجعه‌کنندگان به سایت را وادار به استخراج می‌کنند. کدهای بکار گرفته شده در جریان این کارزار نیز مبهم‌سازی شده است.

از آنجا که مدت زمان استخراج در Link Forwarding در بازه‌ای مشخص قابل تعیین و پیکربندی است در کدهای این کارزار حداکثر مدت زمان برای آن در نظر گرفته شده است و زمانی که این مدت خاتمه می‌یابد همان صفحه اصلی (هک شده) مجددا فراخوانی شده و عملیات استخراج از سرگرفته می‌شود؛ کاربر نیز این فراخوانی مجدد را Refresh در نظر گرفته و به آن مشکوک نمی‌شود.

علاوه بر بهره‌گیری از این تکنیک جدید، گردانندکان این کارزار با دست‌درازی به لینک‌های درج شده در سایت‌های هک شده نیز تلاش می‌کنند تا در زمان کلیک کاربر بر روی آنها یک بدافزار استخراج‌کننده بر روی دستگاه های با هر یک از سیستم های عامل Windows و Linux دریافت و اجرا شود.

مشروح گزارش ملوبایت در خصوص کارزار جدید در لینک زیر قابل دریافت و مطالعه است:

• https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/