Cryptojacking is stiekem gebruik maken van de rekenkracht van uw apparaat om cryptocurrencies te minen. Er zijn verschillende vormen van cryptojacking, waaronder in-browser mining, gehackte apps en achtergrond-malware.
Cryptojacking kreeg grip in september 2017, toen Coinhive zijn JavaScript-code aanbood als een alternatief voor reguliere advertenties.
Het idee is simpel: een website voegt een speciale code toe aan zijn pagina en wanneer mensen die website bezoeken, beginnen hun webbrowsers de Coinhive-code uit te voeren waarvan het primaire doel is om de wiskundige berekeningen uit te voeren die nodig zijn voor cryptocurrencies in de mijnen. Dit proces kost veel geld en zorgt ervoor dat de CPU’s van computers maximaal spiken en laden.
Verschillende grote websites probeerden via Coinhive inkomsten te genereren met hun verkeer, maar kregen negatieve opmerkingen van hun bezoekers die hun machines en CPU’s niet overbelast wilden krijgen. Het slechtste deel hiervan is dat de in-browser-mining in het geheim werd gestart, zonder dat gebruikers hiervan op de hoogte werden gesteld of de mogelijkheid kregen om zich af te melden.
Terwijl Coinhive later AuthedMine uitbracht, dat bezoekers van de website altijd vraagt of ze in-browser mining willen toestaan, hadden talloze cybercriminelen de essentie al gepakt en begonnen ze Coinhive in hun operaties in te zetten.
Zelfs ransomware-payloads, ooit de topmagazijn, zijn minder winstgevend dan cryptojacking, omdat hackers grotendeels zijn verschoven van het inzetten van ransomware naar het laten vallen van mijnwerkers. Meestal doen ze dit met behulp van gehackte websites.
Malwarewerelden begonnen cryptojacking te volgen en hebben interessant nieuws over de evolutie in de korte periode sinds september verstrekt. Deze eerste fase van cryptojacking-aanvallen toonde de groeiende interesse in dit gebied bij verschillende slechte actoren.
Aanvankelijk voegde hackers voornamelijk de code van Coinhive met hun website-sleutels (gebruikers-ID’s ontvangen van Coinhive) in op gehackte sites. Soms injecteerden ze de mijnwerker Miner in de headers van websites en sommige boeven slaagden er in om WordPress-plug-ins te hacken en de schurkenmijn daar te plaatsen. Als gevolg hiervan begonnen alle websites die deze plug-ins gebruikten tegelijkertijd Monero te verdienen en naar de portemonnee van hackers te sturen.
Vanwege het feit dat het Coinhive-webdomein op meerdere zwarte lijsten terechtkwam, begonnen cybercriminelen te vermijden verbinding te maken met het bibliotheekbestand op coinhive.com/lib/coinhive.min.js. Om dit te bereiken, plaatsten ze dit bestand op meerdere websites van derden.
Een aantal initiatieven om coinhive.com te vermijden, lijkt tamelijk ongecompliceerd. Zo moest men bijvoorbeeld de hele bibliotheekcode – die tientallen kilobytes weegt – in websites injecteren.
In ieder geval, het indienen van de Coinhive bibliotheekcode (zelfs als deze is versluierd) naar een andere website, houdt nog steeds in dat er verzoeken worden gedaan aan het domein van Coinhive, dus het is heel eenvoudig om dergelijke aanvallen te ontdekken en te blokkeren. Later begonnen hackers echter serieuzere versluiering te gebruiken.
Wat betreft het hosten van malware gebruiken oplichters gratis services en hulpmiddelen die populair zijn bij de meeste ontwikkelaars, zoals Now.sh, Heroku en natuurlijk GitHub.
Niettemin is Coinhive niet het enige middel om een cryptocurrency-mijnwerker op een site te plaatsen. De feitelijke knowhow is publieke kennis, dus veel hackers hebben hun eigen unieke apps gemaakt, inclusief mijnplatforms, om deel te nemen aan cryptojacking.
Het is duidelijk dat zelf-gehoste applicaties voordeliger zijn dan de mijnwerker van Coinhive of zijn alternatieven. Uiteindelijk zijn ze veel meer instelbaar voor aanvallers. Ze kunnen hen helpen om zwarte lijsten te vermijden door het gebruik van hun eigen domeinen (deze telkens veranderen als dat nodig is).
Je kunt het geheel naar eigen inzicht configureren, waardoor het optimaal functioneert met je aanvalsplan. In aanvulling op het bovenstaande vermijden oplichters vergoedingen weg te geven aan oplossingen zoals Coinhive (waarvan de kosten ongeveer 30% zijn).
Zodra een dergelijke aanpak winstgevend blijkt te zijn, zullen mijnwerkers waarschijnlijk op maat worden gemaakt om te werken in het donkere web (met auto-obfuscatie, domeinomschakeling en verdeling van inkomsten) en vroeg of laat worden opgenomen in exploitkits.
Als bedrijven zoals Coinhive misbruik van hun oplossingen blijven weigeren, kan dit een uiteenvallen zijn voor legitieme en kwaadwillende mijnwerkers. De tijd zal uitwijzen of deze voorspelling juist is. Op dit moment is het duidelijk dat cryptojacking een van de snelst groeiende soorten website-hacks is wanneer we maart 2018 betreden.
Bron: themerkle.com