В YouTube появилась реклама со встроенным майнером криптовалют

Неизвестным злоумышленникам удалось скомпрометировать популярную рекламную платформу Google DoubleClick. Обойдя встроенные механизмы безопасности, они распространяли рекламу, начиненную Coinhive — браузерным майнером криптовалюты Monero. Вредоносная кампания была сконцентрирована на видеохостинге YouTube.

Структура атаки

24 января исследователи компании Trend Micro обнаружили резкий рост (285 %) числа высоконагруженных сайтов, на которых функционирует Coinhive. Дальнейшее изучение проблемы показало, что зачинщики вредоносной рекламной кампании (начало которой было зафиксировано еще 18 января), помимо этого майнера использовали и другой, подключенный к частному пулу. Трафик преимущественно исходил от баннеров с платформы DoubleClick.

В рекламные баннеры злоумышленники встроили JavaScript-код, генерирующий случайное число от 1 до 101. Если полученный результат превышал 10, алгоритм запускал coinhive.min.js, нагружавший пользовательские процессоры на 80 %. Coinhive срабатывал в 9 из 10 случаев, при этом у него на подстраховке был дополнительный приватный майнер, перехватывавший управление, если основной активировать не удавалось.

Google утверждает, что практически сразу заблокировала все вирусные баннеры, однако на данный момент они продолжают появляться на YouTube и других сервисах с высоким трафиком. Для защиты от атак эксперты советуют блокировать JS-приложения в браузере, а также регулярно и своевременно обновлять ПО.

В последние месяцы вредоносные рекламные кампании набирают популярность. Например, несколько дней назад были зафиксированы атаки на незащищенные WordPress-сайты через страницу авторизации со стороны липовых рекламных агентств.