Майнер CoinHive теперь умеет работать даже после закрытия браузера
30.11.2017
Охотники за криптовалютой научили свои JavaScript-майнеры продолжать работу даже после того, как пользователь покинет содержащую их web-страницу.
Как сообщил исследователь безопасности из Malwarebytes Жером Сегура (Jerome Segura), "умельцы" написали специальный код, позволяющий майнеру криптовалюты Monero работать даже после закрытия вкладки или перехода на другой сайт. По сути, мошенники воспользовались старым незатейливым трюком из арсенала рекламодателей – всплывающим фоновым окном.
По словам Сегуры, когда пользователь заходит на сайт, на экране открывается маленькое незаметное окно, скрывающееся за панелью задач Windows или часами. Майнер запускает не сама web-страница, а именно это фоновое окно. Таким образом, владельцы сайта (или взломавшие его хакеры) продолжают использовать мощности компьютера жертвы даже после того, как она перейдет на другой сайт или вовсе закроет браузер. "Трюк заключается в том, что скрытое окно по-прежнему остается открытым даже после закрытия главного окна браузера", – пояснил исследователь.
Расположение окна может варьироваться в зависимости от разрешения экрана, однако оно всегда прячется за другими элементами. Майнер также научился скрывать свое присутствие на системе путем ограничения использования мощности центрального процессора, чтобы заметное замедление скорости не вызвало подозрений у жертвы. Сайты, содержащие майнеры во встроенных рекламных баннерах, умело обходят блокировщики рекламы.
Обнаружить фоновый майнер все-таки можно. По словам Сегуры, процесс будет отображаться в Диспетчере задач Windows как процесс браузера, и его можно легко завершить. Кроме того, при работающем майнере даже после закрытия окна браузера его иконка по-прежнему будет активной на панели задач.
