Beveiligingsbedrijf detecteert acht miljoen cryptojackingpogingen per dag

Beveiligingsbedrijf Malwarebytes heeft statistieken gepubliceerd over het aantal cryptojackingincidenten die het detecteert bij zijn gebruikers. Het meldt dat het per dag zo'n acht miljoen incidenten detecteert waarbij de cpu van gebruikers wordt gebruikt voor cryptomining.

Volgens Malwarebytes gaat het bij die incidenten alleen om de originele api van Coinhive, dat sitebezitters toestaat om via JavaScript de cryptovaluta Monero te delven met de cpu van hun bezoekers. In de afgelopen maand blokkeerde het de api bijna 250 miljoen keer. In een uitgebreider rapport publiceert het bedrijf aanvullende details en de hieronder weergegeven grafiek.

Naast het bedrijf publiceerde ook de Nederlandse onderzoeker Willem de Groot een blogpost, waarin hij schreef dat hij het verschijnsel van cryptojacking tegenkwam in bijna 2500 onlinewinkels. Ongeveer tachtig procent van de winkels die deze techniek inzetten, bleek bovendien geïnfecteerd te zijn met malware voor payment skimming. Soms is de Coinhive-code zelf op de site te vinden en soms is deze bijvoorbeeld verborgen met behulp van een iframe.

Doordat Coinhive een unieke id vereist, kon De Groot vaststellen dat 85 procent van de winkels met de JavaScript-code verbonden was met twee Coinhive-id's. Ook de overige 15 procent zou gemeenschappelijke eigenschappen vertonen, waaruit hij de conclusie trekt dat het waarschijnlijk om drie individuen of groepen gaat die geld verdienen met de campagnes.

Hij raadt gebruikers die zich willen beschermen, aan een adblocker te gebruiken of een browserextensie. Hij heeft de gevonden signatures toegevoegd aan zijn opensourceproject Magento Malware Scanner. Tweakers publiceerde deze week een artikel over cryptojacking, waarin dieper wordt ingegaan op de toenemende populariteit van de techniek.

Via Malwarebytes, aantallen in miljoenen

IT-banen

Reacties (60)

Anonymoussaurus 9 november 2017 11:02

Voor degene die net zoals ik geen extra extensie willen installeren: Je kan ook een filter toevoegen aan je AdblockPlus-extensie. Dat moet zo:

Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".

Je kunt ook een filterabonnement toevoegen. Direct-link voor het toevoegen (even copy/pasten in je URL-balk): abp:subscribe?location=https%3A//raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt&title=NoCoin

Bronnen:

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 18:24]

526735 @Anonymoussaurus • 9 november 2017 11:11

In uBlock Origin is een Resource abuse filter ingebouwd. Je kan hem aan/uitzetten met het vinkje voor dashboard > 3rd-party filters > uBlock filters – Resource abuse.

[Reactie gewijzigd door 526735 op 23 juli 2024 00:51]

Kain_niaK

cryptocurrency

@526735 • 9 november 2017 12:28

Bedankt! Handig. Staat bij firefox en de laatste uBlock origin standaard aan.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 00:51]

Jofairden @Kain_niaK • 9 november 2017 20:20

Can confirm ^ Nightly

Beunhaas91 @Anonymoussaurus • 9 november 2017 11:07

Daarnaast zijn er nog een aantal andere cryptojacking scripts die je mogelijk ook wilt blokkeren. Hieronder een link met tekst en uitleg daaromtrent. Voeg deze dus ook toe aan je filters!

https://github.com/hoshsadiq/adblock-nocoin-list

Edit: @Anonymoussaurus, ik was je net even voor.

[Reactie gewijzigd door Beunhaas91 op 23 juli 2024 00:51]

Mr777 @Beunhaas91 • 9 november 2017 11:26

Je kunt die filters volgens mij beter in je hosts-file zetten, voor het geval je van browser verandert of een nieuwe installeert of je adblocker kapotgaat of wat dan ook.

Hier het lijstje van Github, klaar om in je hosts te plakken:

0.0.0.0 cnhv.co
0.0.0.0 coin-hive.com
0.0.0.0 coinhive.com
0.0.0.0 gus.host
0.0.0.0 load.jsecoin.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 minemytraffic.com
0.0.0.0 ppoi.org
0.0.0.0 projectpoi.com
0.0.0.0 azvjudwr.info
0.0.0.0 jroqvbvw.info
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 xbasfbno.info
0.0.0.0 crypto-loot.com
0.0.0.0 coinerra.com
0.0.0.0 coin-have.com
0.0.0.0 minero.pw
0.0.0.0 minero-proxy-01.now.sh
0.0.0.0 minero-proxy-02.now.sh
0.0.0.0 minero-proxy-03.now.sh
0.0.0.0 api.inwemo.com

ExIT @Mr777 • 9 november 2017 11:46

Heb je een github linkje? Dan kan ik hem automatisch blijven updaten.

Anonymoussaurus @ExIT • 9 november 2017 11:47

https://github.com/hoshsa...ist/blob/master/hosts.txt

Epiecs @Anonymoussaurus • 9 november 2017 17:59

Voor wie hem heeft draaien is het ook handig om evt dit in je eigen dns/pi-hole toe te voegen zodat de mobiele apparaten ook beschermd zijn

Mr777 @ExIT • 9 november 2017 11:48

Het lijstje is te vinden op de link die Beunhaas91 gaf, zie zijn bericht.

Jerie

@Mr777 • 9 november 2017 19:53

Gaat je niet lukken in iOS en unrooted Android.

Ik ben het overigens wel met je eens. Want op deze manier genieten embedded browsers zoals Chrome Webview er ook van. De volgende stap is natuurlijk dat 'gratis' apps deze bloat op de achtergrond draaien.

Het beste is om dit op firewall niveau te blokkeren, met een scheduler, en word of mouth.

aadje93 @Jerie • 10 november 2017 05:56

pi-hole (DNS proxy op de makkelijke manier) en je hebt het geregeld op elk device dat DNS via dhcp aangeleverd krijgt.

Jerie

@aadje93 • 10 november 2017 13:05

Mja behalve dat ik dat net zo graag in Docker draai op een machine die toch al draait.

aadje93 @Jerie • 11 november 2017 08:55

draai een ubuntu image en installeer het. Hier draait het ook gewoon als een losse ubuntu VM in het cluster, 1 per fysieke host voor de redundancy.

Jerie

@aadje93 • 11 november 2017 10:08

teveel gedoe om te updaten

Anoniem: 304381 @Mr777 • 10 november 2017 04:27

Waarom 0.0.0.0 en niet localhost 127.0.0.1 ?

(Ok heb het antwoord gevonden... 0.0.0.0 niet iets minder ruimte in beslag... 127.0.0.1 zou gebruikt kunnen worden voor webserver.. 0.0.0.0 kan nog korter naar 0 lol.)

[Reactie gewijzigd door Anoniem: 304381 op 23 juli 2024 00:51]

biglia @Anonymoussaurus • 9 november 2017 11:08

Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".

coin-hive.com redirect naar coinhive.com. Dus best "coinhive.com/lib/coinhive.min.js" toevoegen.

Cyw00d @Anonymoussaurus • 9 november 2017 13:13

Ik heb in mijn adblock bij options nu de volgende filter aangezet, zit er blijkbaar al standaard in dus:
Cryptocurrency (Bitcoin) Mining Protection List

Anoniem: 105188 @Anonymoussaurus • 9 november 2017 21:22

[Adblock Plus 2.0]
!-------------------------------------------------------------------------------
! Title: NoCoin Filter List
! Expires: 2 days (update frequency)
! Version: 4
! Last modified: 20 Oct 2017
! Homepage: https://github.com/hoshsadiq/adblock-nocoin-list/
! Contribute: https://github.com/hoshsadiq/adblock-nocoin-list/issues
! License: https://mit-license.org/
! Description: This filter disables browser based miners such as coin-hive
!-------------------------------------------------------------------------------
||cnhv.co^$third-party
||coin-hive.com^$third-party
||coinhive.com^$third-party
||gus.host/coins.js
||jsecoin.com^$third-party
||miner.pr0gramm.com^$third-party
||miner.pr0gramm.com^$websocket
||miner.pr0gramm.com/cryptonight-worker.js
||minemytraffic.com^$third-party
||ppoi.org^$third-party
||projectpoi.com^$third-party
||kisshentai.net/Content/js/c-hive.js
||xbasfbno.info^$third-party
||azvjudwr.info^$third-party
||jroqvbvw.info^$third-party
||jyhfuqoh.info^$third-party
||kdowqlpt.info^$third-party
||2giga.link/js/hive.js
||crypto-loot.com^$third-party
||coinerra.com^$third-party
||coin-have.com^$third-party
||minero.pw^$third-party
||minero-proxy-01.now.sh^$third-party
||minero-proxy-02.now.sh^$third-party
||minero-proxy-03.now.sh^$third-party
||kiwifarms.net/js/Jawsh/xmr/xmr.min.js
||api.inwemo.com^$third-party
! specific block
.info^$script,third-party,domain=oload.info|oload.tv|openload.co|streamango.com|streamcherry.com

coinhive is niet de enige en volgens mij doet ABP standaard coinhove blokkeren, de rest nog niet. uBlock heeft een resource abuse filter.

[Reactie gewijzigd door Anoniem: 105188 op 23 juli 2024 00:51]

Bor Coördinator Frontpage Admins / FP Powermod 9 november 2017 12:02

Voor mensen die Pi-hole gebruiken zou dit moeten werken:

pihole -b coin-hive.com www .coin-hive.com (extra spatie in url weghalen) (zelf testen!)

Voor uitvoerige blocklijsten: https://wally3k.github.io/

Let wel dat het een kwestie van tijd is voordat ook andere en / of hijacked domeinen worden gebruikt.

[Reactie gewijzigd door Bor op 23 juli 2024 00:51]

Cowamundo @Bor • 9 november 2017 12:37

Bedankt, hier was ik naar aan het zoeken ipv alle devices hun host file aanpassen.

Tortelli

@Bor • 9 november 2017 13:18

Dit is precies waarna ik opzoek was!.

L3TUC3 @Bor • 9 november 2017 20:42

Dank. Hier ietsje uitvoeriger hoe je zelf lijsten kan toevoegen voor je pi-hole.

Jerie

@Bor • 12 november 2017 01:34

Volgens mij zit hij al in de standaard lijsten.

Yep:

::: /etc/pihole/list.0.raw.githubusercontent.com.domains (3 results)
0.0.0.0 coin-hive.com
0.0.0.0 coinhive.com
0.0.0.0 www.coinhive.com

::: /etc/pihole/list.preEventHorizon (3 results)
coin-hive.com
coinhive.com
www.coinhive.com

Edit:

Oei, deze blocklist gebruikt geen https en is dus met MITMen:

http://sysctl.org/cameleon/hosts

[Reactie gewijzigd door Jerie op 23 juli 2024 00:51]

Kliko @Bor • 13 november 2017 15:10

Vraagje...
Is het voldoende om "https://wally3k.github.io/" toe te voegen aan Block Lists of moet ik alle urls die op die website zelf staan handmatig toevoegen?? Het lijkt me sterk dat dit het geval is (teveel werk

), maar ik wil het toch even zeker weten!

aliberto 9 november 2017 13:02

Hij raadt gebruikers die zich willen beschermen, aan een adblocker te gebruiken of een browserextensie.

En dan vragen bedrijven ons om hun website te whitelisten. We hebben in het verleden al virussen voorgeschoteld gekregen via reclame. Nu is er cryptominejacking, wat wordt volgende?

In de 1 jaar dat ik Adguard gebruik zijn er al 13 bedreigingen tegen gehouden.

Kortom:
Of het Tweakers is of welke andere website, ik maak er geen uitzondering ervoor bij Adguard. Beter goed beveiligd dan data beschadigd of hele pc opnieuw moeten installeren na besmetting. Tevens beschermd een adblocker me ook tegen flitsende reclame items (i.v.m. epilepsie).

Welk bedrijf die reclame serveert geeft mij of jou garantie dat hun website 100% veilig is?

[Reactie gewijzigd door aliberto op 23 juli 2024 00:51]

OruBLMsFrl @aliberto • 9 november 2017 20:31

Welk bedrijf die reclame serveert geeft mij of jou garantie dat hun website 100% veilig is?
Antwoord: als het goed is niemand, want dat is onmogelijk... reclame is natuurlijk wel altijd weer een extra partij erbij, dus het maakt het er zeker niet beter op. Blijft het feit dat sites, servers en netwerkapparatuur gehackt kunnen worden, of bevoegdheden van personeel danwel admin credentials misbruikt.

Floks 9 november 2017 11:17

Ik gebruik zelf een gratis versie van Avast en de Premium versie van Malwarebytes.
Ik kijk er eigenlijk nooit naar, dus nu maar wel even gedaan.
Bij Reports zie ik vooral websites gebblocked, maar toch ook een stuk of 30 Ransomware blocked.
Quarantine is leeg.

Heeft iemand een idee of de gratis versie ook ransomeware blocked? Aangezien ik vaak de gratis versie aanraad aan bijvoorbeeld familie

biglia @Floks • 9 november 2017 11:28

Nee, gratis versie van Malwarebytes kan enkel geïnfecteerde systemen opkuisen: https://www.malwarebytes.com/pricing/

Floks @biglia • 9 november 2017 11:39

Duidelijk, dank.

Gewoon 1x in de maand dus draaien.

biglia @Floks • 9 november 2017 11:57

Aan je schoonfamilie kan je dat adviseren. Maar bij vrienden is voorkomen altijd beter dan genezen. Dus gewoon 1x in het jaar betalen, lijkt me beter.

Step5 @Floks • 10 november 2017 11:04

Dan kun je al te laat zijn, bij ransomware, en bij dit cryptominen helpt dat helemaal niet

GateKeaper 9 november 2017 10:57

Dat het zoveel webwinkels zijn maakt het wel extra ranzig. Je bent daar desnoods om geld uit te geven.

Zenka @GateKeaper • 9 november 2017 11:30

Het gaat niet om webwinkels de zelf cryptojacking software installeren. Websites lopen net zo hard malware op als thuiscomputers (zo niet erger). De eigenaren van de webshops hebben zelf niet door dat ze malware hebben opgelopen, anders zouden ze het wel verwijderen.

Daarom zijn er tools zoals Magento Malware Scanner dat het artiekel noemt. SiteLock, BitNinja en Patchman zijn andere voorbeelden van paketten die servers veilig(er) houden, net als een virus scanner op Windows.

0xygen500 9 november 2017 10:59

Even naam van de webwinkels openbaar maken a.u.b

biglia @0xygen500 • 9 november 2017 11:25

Het zijn allemaal Magento stores: https://twitter.com/gwillem/status/927470920381485057
Dus waarschijnlijk allemaal kleinere webstores die hun software niet up-to-date hebben.

sIRwa3 9 november 2017 11:11

Ik draai ublock orign en privacy badger, Ik las net dat uBlock ook maatregelen heeft genomen tegen cryptomining, weet alleen niet of ik dit als gebruiker nog aan moet zetten.. Weet iemand hier meer over?

Anonymoussaurus @sIRwa3 • 9 november 2017 11:13

Toevallig heeft @526735 daar net een reactie over geplaatst: 526735 in 'nieuws: Beveiligingsbedrijf detecteert acht miljoen cyptojackingpo...

https://github.com/uBlock...ilters/resource-abuse.txt

REDSD

9 november 2017 11:40

De volgende stap zal wel zijn deze crypto miners in gratis apps te stoppen, dat lijkt me nog een stuk lastiger op te sporen en te stoppen.

zanza006 9 november 2017 13:24

Zelf heb ik Pi-hole draaien op mijn netwerk, word dit standaard al geblokeerd?

RoL0 @zanza006 • 9 november 2017 14:29

Dat licht eraan op welke lijsten je geabonneerd bent. Als je de lijst die "Beunhaas91" postte in je adlist file plaatst wordt er al aardig wat geblokkeerd. (https://raw.githubusercon...oin-list/master/hosts.txt)

Slckaer 9 november 2017 13:26

Als je geen advertenties wilt zien of een x bedrag per maand wilt betalen voor een dienst dan is cryptomining toch een mooie alternatief als verdienmodel? Uiteraard wel eerst even toestemming vragen

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf detecteert acht miljoen cryptojackingpogingen per dag

Lees meer

Advertentiealternatief of malware?

IT-banen

Reacties (60)

Sorteer op:

Weergave: