Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf detecteert acht miljoen cryptojackingpogingen per dag

Door , 60 reacties

Beveiligingsbedrijf Malwarebytes heeft statistieken gepubliceerd over het aantal cryptojackingincidenten die het detecteert bij zijn gebruikers. Het meldt dat het per dag zo'n acht miljoen incidenten detecteert waarbij de cpu van gebruikers wordt gebruikt voor cryptomining.

Volgens Malwarebytes gaat het bij die incidenten alleen om de originele api van Coinhive, dat sitebezitters toestaat om via JavaScript de cryptovaluta Monero te delven met de cpu van hun bezoekers. In de afgelopen maand blokkeerde het de api bijna 250 miljoen keer. In een uitgebreider rapport publiceert het bedrijf aanvullende details en de hieronder weergegeven grafiek.

Naast het bedrijf publiceerde ook de Nederlandse onderzoeker Willem de Groot een blogpost, waarin hij schreef dat hij het verschijnsel van cryptojacking tegenkwam in bijna 2500 onlinewinkels. Ongeveer tachtig procent van de winkels die deze techniek inzetten, bleek bovendien geïnfecteerd te zijn met malware voor payment skimming. Soms is de Coinhive-code zelf op de site te vinden en soms is deze bijvoorbeeld verborgen met behulp van een iframe.

Doordat Coinhive een unieke id vereist, kon De Groot vaststellen dat 85 procent van de winkels met de JavaScript-code verbonden was met twee Coinhive-id's. Ook de overige 15 procent zou gemeenschappelijke eigenschappen vertonen, waaruit hij de conclusie trekt dat het waarschijnlijk om drie individuen of groepen gaat die geld verdienen met de campagnes.

Hij raadt gebruikers die zich willen beschermen, aan een adblocker te gebruiken of een browserextensie. Hij heeft de gevonden signatures toegevoegd aan zijn opensourceproject Magento Malware Scanner. Tweakers publiceerde deze week een artikel over cryptojacking, waarin dieper wordt ingegaan op de toenemende populariteit van de techniek.

    Via Malwarebytes, aantallen in miljoenen

Door Sander van Voorst

Nieuwsredacteur

09-11-2017 • 10:53

60 Linkedin Google+

Reacties (60)

Wijzig sortering
Voor degene die net zoals ik geen extra extensie willen installeren: Je kan ook een filter toevoegen aan je AdblockPlus-extensie. Dat moet zo:

Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".

Je kunt ook een filterabonnement toevoegen. Direct-link voor het toevoegen (even copy/pasten in je URL-balk): abp:subscribe?location=https%3A//raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt&title=NoCoin

Bronnen:

[Reactie gewijzigd door AnonymousWP op 9 november 2017 11:14]

In uBlock Origin is een Resource abuse filter ingebouwd. Je kan hem aan/uitzetten met het vinkje voor dashboard > 3rd-party filters > uBlock filters – Resource abuse.

[Reactie gewijzigd door wb9688 op 9 november 2017 11:16]

Bedankt! Handig. Staat bij firefox en de laatste uBlock origin standaard aan.

[Reactie gewijzigd door Kain_niaK op 9 november 2017 12:29]

Can confirm ^ Nightly
Daarnaast zijn er nog een aantal andere cryptojacking scripts die je mogelijk ook wilt blokkeren. Hieronder een link met tekst en uitleg daaromtrent. Voeg deze dus ook toe aan je filters!

https://github.com/hoshsadiq/adblock-nocoin-list

Edit: @AnonymousWP, ik was je net even voor. :)

[Reactie gewijzigd door Beunhaas91 op 9 november 2017 11:10]

Je kunt die filters volgens mij beter in je hosts-file zetten, voor het geval je van browser verandert of een nieuwe installeert of je adblocker kapotgaat of wat dan ook.

Hier het lijstje van Github, klaar om in je hosts te plakken:

0.0.0.0 cnhv.co
0.0.0.0 coin-hive.com
0.0.0.0 coinhive.com
0.0.0.0 gus.host
0.0.0.0 load.jsecoin.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 minemytraffic.com
0.0.0.0 ppoi.org
0.0.0.0 projectpoi.com
0.0.0.0 azvjudwr.info
0.0.0.0 jroqvbvw.info
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 xbasfbno.info
0.0.0.0 crypto-loot.com
0.0.0.0 coinerra.com
0.0.0.0 coin-have.com
0.0.0.0 minero.pw
0.0.0.0 minero-proxy-01.now.sh
0.0.0.0 minero-proxy-02.now.sh
0.0.0.0 minero-proxy-03.now.sh
0.0.0.0 api.inwemo.com
Heb je een github linkje? Dan kan ik hem automatisch blijven updaten.
Voor wie hem heeft draaien is het ook handig om evt dit in je eigen dns/pi-hole toe te voegen zodat de mobiele apparaten ook beschermd zijn ;)
Het lijstje is te vinden op de link die Beunhaas91 gaf, zie zijn bericht.
Gaat je niet lukken in iOS en unrooted Android.

Ik ben het overigens wel met je eens. Want op deze manier genieten embedded browsers zoals Chrome Webview er ook van. De volgende stap is natuurlijk dat 'gratis' apps deze bloat op de achtergrond draaien.

Het beste is om dit op firewall niveau te blokkeren, met een scheduler, en word of mouth.
pi-hole (DNS proxy op de makkelijke manier) en je hebt het geregeld op elk device dat DNS via dhcp aangeleverd krijgt.
Mja behalve dat ik dat net zo graag in Docker draai op een machine die toch al draait.
draai een ubuntu image en installeer het. Hier draait het ook gewoon als een losse ubuntu VM in het cluster, 1 per fysieke host voor de redundancy.
teveel gedoe om te updaten
Waarom 0.0.0.0 en niet localhost 127.0.0.1 ?

(Ok heb het antwoord gevonden... 0.0.0.0 niet iets minder ruimte in beslag... 127.0.0.1 zou gebruikt kunnen worden voor webserver.. 0.0.0.0 kan nog korter naar 0 lol.)

[Reactie gewijzigd door Skybuck op 10 november 2017 04:31]

Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".
coin-hive.com redirect naar coinhive.com. Dus best "coinhive.com/lib/coinhive.min.js" toevoegen.
Ik heb in mijn adblock bij options nu de volgende filter aangezet, zit er blijkbaar al standaard in dus:
Cryptocurrency (Bitcoin) Mining Protection List
[Adblock Plus 2.0]
!-------------------------------------------------------------------------------
! Title: NoCoin Filter List
! Expires: 2 days (update frequency)
! Version: 4
! Last modified: 20 Oct 2017
! Homepage: https://github.com/hoshsadiq/adblock-nocoin-list/
! Contribute: https://github.com/hoshsadiq/adblock-nocoin-list/issues
! License: https://mit-license.org/
! Description: This filter disables browser based miners such as coin-hive
!-------------------------------------------------------------------------------
||cnhv.co^$third-party
||coin-hive.com^$third-party
||coinhive.com^$third-party
||gus.host/coins.js
||jsecoin.com^$third-party
||miner.pr0gramm.com^$third-party
||miner.pr0gramm.com^$websocket
||miner.pr0gramm.com/cryptonight-worker.js
||minemytraffic.com^$third-party
||ppoi.org^$third-party
||projectpoi.com^$third-party
||kisshentai.net/Content/js/c-hive.js
||xbasfbno.info^$third-party
||azvjudwr.info^$third-party
||jroqvbvw.info^$third-party
||jyhfuqoh.info^$third-party
||kdowqlpt.info^$third-party
||2giga.link/js/hive.js
||crypto-loot.com^$third-party
||coinerra.com^$third-party
||coin-have.com^$third-party
||minero.pw^$third-party
||minero-proxy-01.now.sh^$third-party
||minero-proxy-02.now.sh^$third-party
||minero-proxy-03.now.sh^$third-party
||kiwifarms.net/js/Jawsh/xmr/xmr.min.js
||api.inwemo.com^$third-party
! specific block
.info^$script,third-party,domain=oload.info|oload.tv|openload.co|streamango.com|streamcherry.com
coinhive is niet de enige en volgens mij doet ABP standaard coinhove blokkeren, de rest nog niet. uBlock heeft een resource abuse filter.

[Reactie gewijzigd door SizzLorr op 9 november 2017 21:23]

Voor mensen die Pi-hole gebruiken zou dit moeten werken:

pihole -b coin-hive.com www .coin-hive.com (extra spatie in url weghalen) (zelf testen!)


Voor uitvoerige blocklijsten: https://wally3k.github.io/

Let wel dat het een kwestie van tijd is voordat ook andere en / of hijacked domeinen worden gebruikt.

[Reactie gewijzigd door Bor op 9 november 2017 12:06]

Bedankt, hier was ik naar aan het zoeken ipv alle devices hun host file aanpassen. :)
Dit is precies waarna ik opzoek was!.
Volgens mij zit hij al in de standaard lijsten.

Yep:

::: /etc/pihole/list.0.raw.githubusercontent.com.domains (3 results)
0.0.0.0 coin-hive.com
0.0.0.0 coinhive.com
0.0.0.0 www.coinhive.com

::: /etc/pihole/list.preEventHorizon (3 results)
coin-hive.com
coinhive.com
www.coinhive.com

Edit:

Oei, deze blocklist gebruikt geen https en is dus met MITMen:

http://sysctl.org/cameleon/hosts

[Reactie gewijzigd door Jerie op 12 november 2017 02:17]

Vraagje...
Is het voldoende om "https://wally3k.github.io/" toe te voegen aan Block Lists of moet ik alle urls die op die website zelf staan handmatig toevoegen?? Het lijkt me sterk dat dit het geval is (teveel werk :p), maar ik wil het toch even zeker weten! :) :9 O-)
Hij raadt gebruikers die zich willen beschermen, aan een adblocker te gebruiken of een browserextensie.

En dan vragen bedrijven ons om hun website te whitelisten. We hebben in het verleden al virussen voorgeschoteld gekregen via reclame. Nu is er cryptominejacking, wat wordt volgende?

In de 1 jaar dat ik Adguard gebruik zijn er al 13 bedreigingen tegen gehouden.

Kortom:
Of het Tweakers is of welke andere website, ik maak er geen uitzondering ervoor bij Adguard. Beter goed beveiligd dan data beschadigd of hele pc opnieuw moeten installeren na besmetting. Tevens beschermd een adblocker me ook tegen flitsende reclame items (i.v.m. epilepsie).

Welk bedrijf die reclame serveert geeft mij of jou garantie dat hun website 100% veilig is?

[Reactie gewijzigd door aliberto op 9 november 2017 13:25]

Welk bedrijf die reclame serveert geeft mij of jou garantie dat hun website 100% veilig is?
Antwoord: als het goed is niemand, want dat is onmogelijk... reclame is natuurlijk wel altijd weer een extra partij erbij, dus het maakt het er zeker niet beter op. Blijft het feit dat sites, servers en netwerkapparatuur gehackt kunnen worden, of bevoegdheden van personeel danwel admin credentials misbruikt.
Ik gebruik zelf een gratis versie van Avast en de Premium versie van Malwarebytes.
Ik kijk er eigenlijk nooit naar, dus nu maar wel even gedaan.
Bij Reports zie ik vooral websites gebblocked, maar toch ook een stuk of 30 Ransomware blocked.
Quarantine is leeg.

Heeft iemand een idee of de gratis versie ook ransomeware blocked? Aangezien ik vaak de gratis versie aanraad aan bijvoorbeeld familie
Nee, gratis versie van Malwarebytes kan enkel geÔnfecteerde systemen opkuisen: https://www.malwarebytes.com/pricing/
Duidelijk, dank.

Gewoon 1x in de maand dus draaien.
Aan je schoonfamilie kan je dat adviseren. Maar bij vrienden is voorkomen altijd beter dan genezen. Dus gewoon 1x in het jaar betalen, lijkt me beter.
Dan kun je al te laat zijn, bij ransomware, en bij dit cryptominen helpt dat helemaal niet
Dat het zoveel webwinkels zijn maakt het wel extra ranzig. Je bent daar desnoods om geld uit te geven.
Het gaat niet om webwinkels de zelf cryptojacking software installeren. Websites lopen net zo hard malware op als thuiscomputers (zo niet erger). De eigenaren van de webshops hebben zelf niet door dat ze malware hebben opgelopen, anders zouden ze het wel verwijderen.

Daarom zijn er tools zoals Magento Malware Scanner dat het artiekel noemt. SiteLock, BitNinja en Patchman zijn andere voorbeelden van paketten die servers veilig(er) houden, net als een virus scanner op Windows.
Even naam van de webwinkels openbaar maken a.u.b
Het zijn allemaal Magento stores: https://twitter.com/gwillem/status/927470920381485057
Dus waarschijnlijk allemaal kleinere webstores die hun software niet up-to-date hebben.
Ik draai ublock orign en privacy badger, Ik las net dat uBlock ook maatregelen heeft genomen tegen cryptomining, weet alleen niet of ik dit als gebruiker nog aan moet zetten.. Weet iemand hier meer over?
De volgende stap zal wel zijn deze crypto miners in gratis apps te stoppen, dat lijkt me nog een stuk lastiger op te sporen en te stoppen.
Zelf heb ik Pi-hole draaien op mijn netwerk, word dit standaard al geblokeerd?
Dat licht eraan op welke lijsten je geabonneerd bent. Als je de lijst die "Beunhaas91" postte in je adlist file plaatst wordt er al aardig wat geblokkeerd. (https://raw.githubusercon...oin-list/master/hosts.txt)
Als je geen advertenties wilt zien of een x bedrag per maand wilt betalen voor een dienst dan is cryptomining toch een mooie alternatief als verdienmodel? Uiteraard wel eerst even toestemming vragen ;)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*