Злоумышленники заманивают жертв на свои сайты, и пока те вводят CAPTCHA, используют мощности их смартфонов для майнинга.
Исследователи из Malwarebytes сообщили о новой кампании против пользователей Android-устройств. Когда жертва осуществляет поиск в мобильном браузере и кликает на вредоносную рекламу, она перенаправляется на подконтрольный злоумышленникам сайт. Пока пользователь решает CAPTCHA, встроенный в сайт инструмент для майнинга Coinhive использует мощности его устройства для добычи криптовалюты Monero.
Кампания была обнаружена в ноябре прошлого года. Злоумышленники действуют по простому принципу: с помощью вредоносной рекламы перехватывают трафик легитимных сайтов и перенаправляют жертв на другие домены. Пользователи настольных компьютеров попадают на поддельные сайты техподдержки, а владельцы мобильных устройств – на сайты, где им нужно ввести CAPTCHA, чтобы продолжить.
Суть заключается в следующем: пока пользователь вводит CAPTCHA с помощью неудобной мобильной клавиатуры, сайт загружает и запускает скрипт для майнинга криптовалюты (процесс, известный как cryptojacking). Когда пользователь наконец-то вводит CAPTCHA, то просто попадает на домашнюю страницу Google. Главная задача злоумышленников – продержать жертву на своем сайте подольше, пока мощность ее устройства используется для добычи Monero.
Исследователи обнаружили пять доменов с одной и той же web-страницей и тем же кодом CAPTCHA. Судя по объему трафика, в день мошенники привлекают на свои сайты порядка 800 тыс. пользователей, которые проводят на них в среднем по четыре минуты. Не зная точного числа доменов, подсчитать прибыль злоумышленников сложно. Однако из-за низкого хэшрейта и ограниченного времени для майнинга они вряд ли зарабатывают более нескольких тысяч долларов в месяц, предположили исследователи.
Хэшрейт (hashrate) – единица измерения вычислительной мощности оборудования для добычи криптовалюты.