La red publicitaria utiliza una técnica avanzada de malware para ocultar anuncios de minería que agotan la CPU

Un reparador con Agrandar Lisa Brewster / Flickr

El aumento de la minería de criptomonedas drive-by en un número creciente de los sitios web ha llevado a una demanda renovada de software de bloqueo de anuncios. Los usuarios de la web están buscando nuevas formas de evitar el código oculto que ensilla computadoras con minería de monedas que consumen recursos. Ahora algunos mineros son empleando un truco popularizado por primera vez por el software de botnet que evita el bloqueo de anuncios.

Otras lecturas

Una oleada de sitios y aplicaciones están agotando su CPU para minar Los algoritmos de nombre de dominio de criptomoneda son un medio derivado del software para crear una cantidad casi ilimitada de nombres de dominio únicos en un regularmente. Los DGA, como se les suele llamar, salieron a la luz 2008 tras el lanzamiento del gusano altamente viral Conficker. A evitar que los whitehats se apoderen de los nombres de dominio que Conficker solía recibir instrucciones de comando y control, el malware generado cientos de dominios nuevos y únicos cada día que infectaron computadoras buscaría actualizaciones. En el caso de que los dominios antiguos fueran hundido, Conficker necesitaba alcanzar solo una de las nuevas direcciones para que permanezca bajo el control de su creador. La carga de el registro de más de 90,000 nuevos nombres de dominio cada año ha demostrado tan bueno para los whitehats que Conficker continúa funcionando incluso ahora.

Investigadores de Netlab 360 con sede en China informaron durante el fin de semana que una red publicitaria está utilizando DGA para ocultar el navegador código de minería de divisas que se ejecuta en sitios web. Normalmente, la red publicitaria redirigirá los navegadores de visitantes a serve.popad.net, que aloja anuncios que cargan coinhive.min.js. Ese es el código JavaScript que empantana bajar las computadoras de los visitantes haciéndolos participar en una minería gigante grupo alojado por coinhive.com, que mantiene el 30 por ciento de los ingresos y le da el resto al anunciante o al sitio web que proporcionó La referencia. En la mayoría de los casos, todo esto sucede detrás de escena. sin signos visibles de lo que está sucediendo, con la excepción de acelerar demasiado los ventiladores y disminuir el rendimiento de la computadora.

Elevando el listón

Equipos que ejecutan un bloqueador de anuncios que impide visitar los navegadores de acceder a la página popad.net, sin embargo, será redirigido a un dominio aparentemente aleatorio como “zylokfmgrtzv.com” “zymaevtin.bid” o “zzevmjynoljz.bid”. La página de señuelo se carga JavaScript que ha sido muy ofuscado para ocultar el minería.

“Desde mediados de 2017, este proveedor de red publicitaria ha estado utilizando tecnología DGA de dominio para generar dominios aparentemente aleatorios para omita el bloqueo de anuncios para garantizar que los anuncios que sirve puedan llegar al final usuarios “, escribió el investigador de Netlab 360 Zhang Zaifeng en una publicación de blog publicado el sábado, en referencia al bloqueo del navegador Chrome extensión llamada AdBlock. “Comenzando [en diciembre], el bar consiguió planteado de nuevo, y comenzamos a ver estos dominios DGA.popad participar en cryptojacking sin usuarios finales reconocimiento.”

El investigador continuó diciendo que la cantidad de personas redirigido a los dominios generados algorítmicamente parecían ser significativo. Un dominio, arfttojxv.com, era 1,999 en Alexa ranking del sitio web, mientras que vimenhhpqnb.com fue 2,011 y ftymjfywuyv.com fue 2,071. Los sitios web que Netlab 360 encontró funcionando los anuncios habilitados para DGA eran principalmente proveedores de pornografía y otro contenido que a menudo se usa como cebo en estafas.

Curiosamente, una captura de pantalla proporcionada en la publicación muestra que el El dominio generado algorítmicamente finalmente llama a coin-hive.com. Eso sugiere que la técnica DGA descrita funciona solo contra anuncios bloqueadores que no bloquean ese dominio. Un número creciente de anuncios Los bloqueadores y los programas antimalware bloquean los dominios de Coinhive.

Agrandar

“Para mí, esto no se trata de evitar la detección de Coinhive, sino más bien evitando las redes publicitarias mediante el uso de dominios que cambian rápidamente, “Jérôme Segura, analista principal de malware para Malwarebytes, dijo a Ars. “Por Usuarios de Malwarebytes no importa porque podemos bloquear cualquiera la red publicitaria o la llamada de colmena “.

Zaifeng dijo que no está claro cuánto dinero tienen los anuncios generado hasta la fecha. En general, los retornos de la minería en el navegador son pequeños. Esta publicación de septiembre informó los resultados cuando uno Un sitio muy pequeño experimentó con la minería como una alternativa potencial a los anuncios tradicionales. Con aproximadamente 1,000 visitas por día y un Sesión promedio de 55 segundos, el sitio ganó 36 centavos por día, que fue de cuatro a cinco veces menos de lo que hizo publicar anuncios regulares.

Es probable que Coinhive sea uno de los pocos jugadores. sacar provecho del sarpullido de la falta de ética, si no ilegal minería de divisas en el navegador: sitios en Internet. Ese punto parece perderse en adpop.net, que viene con nuevas formas de atrapar visitantes poco dispuestos.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: