Антивирусная компания Trend Micro зафиксировала целенаправленное размещение баннеров баннеров с кодом для майнинга криптовалюты в сети DoubleClick. При этом львиная доля их размещается на YouTube. Учитывая, что современные рекламные сети позволяют использовать JavaScript, это позволяет обходить блокировки и автоматизированные проверки, а также использовать клиентские устройства для майнинга.

Ещё 24 января сотрудники Trend Micro зафиксировали лавинообразное увеличение числа сайтов на которых применяется JavaScript-майнер Coinhive. «Источником» послужила рекламная сеть Google DoubleClick. Там вредоносная активность наблюдается с 18 января и сосредоточена она как раз на YouTube. Для пользователя это означает рост нагрузки на CPU до 80% во время просмотра видео.

Хотя в Google и заявили, что оперативно заблокировали вредоносные баннеры, однако, похоже, система оказалась «дырявой», поскольку вредоносный код вновь и вновь продолжает появляться на YouTube.

Очевидно, что целью стал видеохостинг YouTube, поскольку пользователи, как правило, проводят на нем большое количество времени. Это основная цель для вредоносного майнингового ПО и чем дольше пользователи майнят криптовалюту, тем больше зарабатывается денег

Эксперт Трой Марш

Как отмечается, основная «нагрузка» пришлась на компьютеры Японии, Франции Тайваня, Италии и Испании.

При этом, в выявленном вредоносном баннере применяется два варианта JavaScript-кода для майнинга криптовалюты Monero, которые спустя некоторое время после начала показа баннера загружаются с определённой долей вероятности. Скрипты рассчитаны на то, чтобы не занимать более 80% ресурсов CPU (уровень throttle выставлен в 0.2). Первый скрипт coinhive.min.js загружается с вероятностью 90%, а в остальных 10% случаях используется mqoj_1.js (вероятность варьируется в разных баннерах, например, встречаются экземпляры с соотношением 97% и 3%).

Скрипты основаны на коде сервиса Coinhive, предлагающего майнинг как новый способ монетизации для владельцев сайтов. Первый скрипт является оригинальным кодом от сервиса Coinhive. Второй скрипт отличается тем, что он модифицирован для использования собственного пула для майнинга, развёрнутого на сервере в облаке AWS, чтобы не платить 30% комиссию сервису Coinhive.

По данным TrendMicro, на текущий момент проблема остаётся актуальной, так что рекомендуется следить за «расходом ресурсов».