最近似乎有一种趋势,出版商通过让访客在他们的网站上挖掘加密货币来货币化他们的流量。其理念是,您正在免费访问内容,作为交换,您的计算机(特别是其CPU)将用于挖掘目的。

海盗海湾开始在其网站上运行矿工后来公开承认它。在其他情况下,采矿是副产品恶意广告或通过合法但受到受损的网站完成直接注入密码挖掘代码

不用说,这种做法引起了许多人的不满,并不是所有人都同意这种新的商业模式能否长期取代广告(尽管大多数人都认为广告通常是令人讨厌和恶意的)。

但是当发布者将PC转换为矿工并同时显示广告时,究竟发生了什么?在这篇文章中,我们看一下可以说是一个糟糕的混合。

驾车矿业

由于未经用户交互,通过JavaScript发生挖掘在浏览器中,我们可以将其与下载进行比较。由于发布者需要保留访问者的注意力,使JavaScript代码尽可能长时间运行,这是内容类型的类型。我们知道,例如游戏或视频流媒体网站往往会使人们保持比其他人更长的时间。

图1:一个正在(并非如此)默默挖掘加密货币的流媒体网站

有一个例外,在这里,因为在某些情况下,载入JavaScript代码挖掘一次就够了,不管用户是否决定改变网站之后,挖掘将继续。这种特殊的滥用技术影响Internet Explorer(即僵尸脚本)被确定并报告(但不是固定)曼努埃尔卡尔罗

通过浏览器挖掘数字货币的概念首先是一点点奇怪,因为这是众所周知的资源密集开采怎么可以,需要装载了昂贵的硬件强大的机器。虽然这是比特币真实的,它不是被设计为普通的CPU,其他货币。

拿着Monero数字货币,由...提供动力Cryptonight与运行更高级的硬件相比,可以使用标准CPU挖掘该算法,总体结果几乎没有差异。这实际上打开了一扇大门,打开了一个由数百万台典型消费机器组成的巨大且几乎尚未开发的市场。

斗鸡宣传自己为“您网站的加密矿工”,并使网站所有者通过使用他们的JavaScript API快速建立挖矿。毫无疑问,它得到了非常迅速的采用,但不幸的是,它已经被滥用。

图2:JavaScript的API /从Coinhive在客户端侧的代码用于矿井cryptocurrency

游戏和视频网站通常是更具资源密集的,因此在不具有注意到的情况下运行矿工似乎几乎没有意义。有了此同说,许多消耗受版权保护内容的人可能不太可能抱怨一个根据具体用户体验。

此时的问题是:发行商能够将糟糕的用户体验推向何种程度?您可能会感到惊讶的是,对许多人来说,这根本不是一个问题,实际上,双薪是一个相当普遍的做法。

强迫采矿和诽谤

上面相同的网站不仅通过Coinhive货币化,而且还耗尽广告。点击页面上的任何位置 - 包括视频上的“播放”按钮 - 触发通过各种广告交换的广告下触发的流行音乐,导致几乎所有实例都是恶意,导致技术支持诈骗和几种不同的利用套件感染链。

技术支持诈骗

技术支持诈骗是我们看到这些天最常见的重定向之一。虽然他们没有通常感染你的电脑,他们仍然是一个威胁考虑。最常见的症状被称为“Browlock”,因为骗子使用代码阻止你正常关闭浏览器。这种说法总是过分的,目的是吓唬用户,让他们相信自己被感染了。拨打公开号码寻求帮助的受害者最终会遇到更多的电脑问题,钱包里的钱也会少几百美元。

图3:点击页面的任何地方都会触发导致技术支持诈骗(Browlock)的恶意广告

图4:Web流量显示来自Publisher到Tech支持诈骗页面的重定向序列

平台开发工具

RIG是目前最受欢迎的开发工具,而恶意广告是其主要的传递机制。过滤受害者的工具与营销人员对消费者进行剖析的工具相同,还可以有二级过滤,例如,通常通过执行地理位置检查的gate。

图5:RIG EK通过广告链

恐怖剥削套件

Terror EK的分布规模比RIG小得多,但它仍然是一个相当活跃的开发工具,可以尝试不同的东西。例如,一些Terror EK感染链使用SSL加密(通过Let 's Encrypt提供的免费证书)。它还有一个有趣的门,它具有我们所见过的最复杂的iframe编码之一。

图6:恐怖EK通过恶意,并在着陆页之前的门

阻止较少或更多?

对浏览器加密器崛起的第一次反应之一是询问如何阻止它们,无论是典型的广告拦截器或URL / IP黑名单,甚至是禁用JavaScript。毫无疑问,用户对没有包含他们意见的推出令人恼火的问题,尽管许多人实际上是对在线广告的替代解决方案的替代方案。

虽然cryptominers做对系统资源的影响,有至少从某种意义上说,他们可能会比广告更安全,更侵入。但出版商不能因为没有人喜欢突击客人与他们的观众更加透明。不幸的是,总会是关心得很少出版商什么样的流量,他们推,只要它产生良好的收益;对于他们来说,cryptominers只是一个额外的收入,以他们现有的广告产品组合。

必威平台APP用户已经受到保护,不受这种驱动式挖矿的影响。事实上,我们每天都在阻止超过500万次对Coinhive的连接尝试,这表明基于浏览器的挖掘已经在很大程度上发展起来了。

我们的目标是保护人们不受未经请求的驾驶加密矿的伤害。但是,对于那些知道并希望参与挖掘的用户,他们完全可以通过添加该域的排除来实现。

妥协的指标

技术支持骗局

192.241.220 [。] 40 / 877microsoft /

RIG EK

Fobos:HudsonEntexment [。]信息/ fobos:204hdchdhhh [。] cf / tako /?Re = 6128546021 rig ip:188.225.83 [。] 85 43bc543d26f755474b355a70c25077df8ab71836056619216792a112a79bcd3d

恐怖EK

onpakfucli.salary-radar(。)收购/ search-w3kpShD3axxD / R5ALkH3JyPBC / rzcp4YrhDgzu.html wabusfqdty.salary-radar(。)收购/ search-w3kpShD3axxD iqW1OavoNisD.php 4 fccf7246b6807e22c42dd93507592cca0594694f4487b03db04ef13e7a99c54