В начале сентября 2017 года операторы торрент-трекера The Pirate Bay привлекли всеобщее внимание к весьма интересной вещи. Тогда трекер провел испытания и временно встроил криптовалютный майнер в некоторые страницы сайта. Операторы ресурса объяснили, что майнер может помочь сайту в будущем полностью избавиться от традиционной рекламы. Стоит отметить, что теперь The Pirate Bay вернулся к этой практике на постоянной основе.
Хотя сам принцип вовсе не нов, до недавнего времени никто не пытался массово внедрять скрытые скрипты для майнинга прямо в код сайтов, но теперь этим занимаются буквально все и далеко не всегда по своей воле. Так, после проведения испытаний на The Pirate bay, скрипты для скрытого майнинга были добавлены во взломанное расширение для Chrome, появились на многих ресурсах из топа Alexa (AirAsia, TuneProtect, официальный сайт Криштиану Роналду и так далее, информацию о других пострадавших ресурсах можно найти в блоге компании Cyren), их стали использовать некоторые Tor2Web прокси. Майнеры были замечены даже в моддинговой платформе для Grand Theft Auto V, FiveM.
Всего неделю назад мы писали о том, что сервисов, предоставляющих решения для «майнинга через браузеры» пока насчитывается немного. Так, операторы The Pirate Bay и большинства других сайтов пользуются услугами сервиса Coinhive, который предлагает конвертировать мощности CPU посетителей в криптовалюту Monero.
Также мы рассказывали о появлении аналогичного сервиса Crypto-Loot, который тоже предлагает операторам сайтов встроить в код страниц JavaScript и «копать» Monero, используя компьютеры пользователей. Впрочем, Crypto-Loot имеет существенное преимущество перед своим основным конкурентом. Если Coinhive забирает себе 30% дохода, оставляя владельцам сайтов лишь 70%, то Crypto-Loot просит только 12% дохода, то есть операторам сайтов остается 88%.
В настоящее время ситуация в этой области стремительно меняется. Помимо Coinhive и Crypto-Loot уже заработали сервисы MineMyTraffic и JSEcoin, ИБ-специалист Трой Марш (Troy Mursch) обнаружил два китайских клона Coinhive (Coin Have и PPoi), а эксперты Microsoft нашли сервисы CoinBlind и CoinNebula. Два последних сервиса даже не имеют собственных сайтов и, судя по всему, ориентированы исключительно на хакерский андеграунд и нелегальное использование.
Кроме того, скрытые майнеры теперь существуют и в виде плагинов для WordPress. В официальном репозитории уже можно найти как минимум два таких решения: Simple Monero Miner – Coin Hive и Coin Hive Ultimate Plugin. Еще был замечен плагин WP Monero Miner with Coin Hive, но в настоящее время он удален из репозитория.
Как мы уже объясняли, в целом такие сервисы можно даже назвать легитимными, беда в том, что их далеко не всегда используют законным образом. Многие специалисты рассматривают такие майнеры как малварь, ведь в большинстве случаев операторы сайтов не уведомляют своих посетителей о происходящем и не предоставляют им возможность отключения майнера. К примеру, компания Cloudflare уже начала блокировать такие ресурсы и пояснила, что расценивает действия владельцев таких сайтов как вредоносные.
К сожалению, нужно признать, что представители Cloudflare правы. Их выводы хорошо иллюстрирует исследование, представленное на этой неделе специалистами Palo Alto Networks. Из отчета следует, что в основном майнинговые скрипты Coinhive размещают на своих страницах весьма подозрительные сайты, среди которых множество пиратских порталов и стриминговых сервисов, порносайтов и так далее. Palo Alto Networks сообщает, что в браузерный майнинг вовлечено уже более 1000 сайтов, 35% которых размещаются на доменах .download и .bid.
Но не все разработчики майнинговых скриптов согласны мириться с такой репутацией и работать в «серой» зоне. К примеру, Coinhive определенно хочет быть легальным решением. Для этого авторы Coinhive уже создали специальный UI виджет, который призван упростить жизнь тем клиентам сервиса, которые хотят идти законным путем. Виджет позволяет посетителям сайтов с майнерами легко контролировать их работу.
На этой неделе авторы Coinhive представили и еще одно нововведение — сервис AuthedMine, который работает как оригинальный Coinhive, но не запускается до тех пор, пока пользователь не даст на это свое согласие. Если заглянуть на сайт AuthedMine, можно увидеть послание от разработчиков, адресованное создателям блокировщиков рекламы и антивирусных решений. Разработчики просят не блокировать этот домен и находящиеся на нем скрипты, так как этот майнер работает исключительно с согласия пользователей.
Хотя опросы показывают, что большинство пользователей не возражают против майнинга через браузеры (особенно если это будет означать исчезновение навязчивой рекламы), далеко не все учитывают еще один нюанс. Аналитики компании Trustware подсчитали, что из-за таких майнинговых скриптов у пользователей вырастут счета за электричество. Так, жителям Сингапура придется платить в среднем на $5,45 больше, в Германии к счету прибавится $12,50, в Австралии $13,80, а для США счет вырастет на $5.
Напомню, что работу майнинговых скриптов уже блокируют большинство антивирусных продуктов и блокировщиков рекламы. Также появились специальные «противомайнинговые» расширения для браузеров: AntiMiner, No Coin, и minerBlock. Плюс пользователь всегда может просто отключить Javascript самостоятельно или установив соответственные расширения для браузера (к примеру, NoScript и ScriptBlock).
