マイニングコードの共通ルーチンの一覧

最近、陝西省の多くの企業のウェブサイトに JS ウェブマイニングトロイの木馬が埋め込まれています。 JS ウェブマイニングトロイの木馬は当初、陝西省のガス・熱協会のウェブサイトに埋め込まれていたことが判明しています。関係機関がウェブサイトの運営者である西安長庚インターネット技術有限公司をさらに調査したところ、同社が設計した複数のウェブサイトにJSウェブマイニングトロイの木馬が埋め込まれていることがわかった。

ウェブページにマイニング コードが埋め込まれているからといって、誰かがこれらの企業の Web サイトを個人的な利益のために意図的に使用している可能性が排除されるわけではありません。また、ウェブサイトがハッキングされた兆候である可能性もあります。

Warp Speed Future Safe Zoneによると、ネットワーク全体ではマイニングコードが組み込まれたウェブサイトが3万以上あるという。ユーザーがウェブサイトを開いて閲覧や操作を行う限り、ウェブサイトはコンピューターや携帯電話のコンピューティング リソースを呼び出し、マイニングを行います。世界中で約5億台のコンピューターがマイニングのために乗っ取られています。

モネロのマイニング

マイニングコードを閲覧すると、その多くが Monero をマイニングしていることがわかります。 Monero は、一般的なコンピューターでの実行に非常に適した Cryptonight マイニング アルゴリズムを使用しているため、ハッカーはこれを利用した完璧な利益獲得計画を開発しました。

彼らは JavaScript を使用してコードを記述し、ユーザーが Web サイトを読み込むと、マイニング コードも読み込まれます。 Moneroマイニングコードの最大手プロバイダーであるCoinhiveのデータによると、同社のコードの動作効率はMoneroマイニングマシンの約65％であり、今後も改善の余地があるとのこと。

ユーザーは、ウェブサイトを訪問している間はほんの少しの計算能力しか提供できませんが、訪問数が増えるほど収益も増えます。

多くのマイニング コード プロバイダーは、開発者が収入を予測するための計算機を持っています。あなたのウェブサイトに毎日10〜20人のユーザーが訪問する場合、1日あたり0.3 XMR、約270元、1か月あたり8,100元を稼ぐことができます。

以前、有名なBTリソースダウンロードサイト「Pirate Bay」にMoneroマイニングコードが組み込まれていたことが明らかになりました。パイレート・ベイのウェブサイトは、直接かつ傲慢に次のように発表した。「パイレート・ベイのウェブサイトにアクセスする限り、あなたのCPUをMoneroの採掘に利用することに同意したことになります。同意しない場合は、すぐにサイトを離れるか、広告ブロッカーをインストールしてください。」

しかし、この文章はパイレート・ベイのウェブサイトの一番下にしか表示されておらず、意図的に小さいフォントサイズに設定されています。
つまり、更新されたリソースがあるかどうかを確認するために The Pirate Bay を開いただけでも、コンピューターの CPU 使用率は瞬時に 100% に急上昇し、Web サイトを閉じるまで The Pirate Bay が収益を生み出すための計算能力が提供されます。

現在、トラフィックの少ないサイトでは 1 日に数ドルの追加収益を得ることができますが、トラフィックの多いサイトでは 1 日に数千ドルの収益を得ることができます。インターネットを閲覧しているときに、コンピューターや携帯電話が不可解なほど熱くなっていると感じた場合は、Web サイトがそれらをマイニングに使用しているかどうかを検討する必要があります。

Warp Speed ​​​​Future Security Zone の概要によると、ハッカーの標的となり、マイニング型トロイの木馬が埋め込まれる可能性が最も高いターゲットは次のとおりです。

ターゲット1: ポルノサイト

マイニングコードが埋め込まれたウェブサイトの68%はポルノサイトであることが分かっています。

これに加えて、これらの Web サイトはさらに一歩進んで、ブラウザを閉じた後もマイニング コードの実行を継続できるようにします。したがって、ユーザーがこれらのマイニング Web サイトを発見してブラウザを閉じたとしても、関連するコードは引き続き実行され、CPU リソースを占有する可能性があります。

実際、ブラウザを閉じた後も、マイニング コードはシステム内のウィンドウを隠し、実行を続けます。このウィンドウは、システム タスクバーのシステム時刻の上に隠れます。ユーザーはタスクバーのロックを解除してタスクバーの幅を広げることができ、非表示のウィンドウが表示されます。これを閉じると、マイニング コードの実行が停止します。

目標2: 大学の成績チェックシステム

ウェブサイトの所有者が独自にマイニング コードを追加するだけでなく、他のウェブサイト サーバーに侵入し、コード内に悪意を持ってマイニング トロイの木馬を埋め込むハッカーもいます。大学入試後、多くの大学のウェブサイトがハッキングされ、受験生は自分の試験の点数を確認する際にハッカーに協力しなければならなかったことが明らかになった。

スコア確認サイトはスコアが発表される時間があるため、結果発表を待ちながらウェブページを開いたままにしている受験者が多いため、ブログなどの他のウェブサイトよりも人気があります。かつて、山東省、湖北省、河南省、黒龍江省などの多くの主要大学の公式ウェブサイトにマイニング型トロイの木馬が埋め込まれていることが検出されました。

ターゲット3: ゲームプラグイン

さらに、多くのゲームプラグイン開発者もプラグインにマイニングトロイの木馬を埋め込んでおり、わずかな利益と楽しみに貪欲な多くのユーザーが罠に陥る原因となっています。コンピューターに加えて、マイニング型トロイの木馬を含むアプリが Android スマートフォンにも多数登場しています。

鉱業コードの背後にある闇産業チェーン

実際、マイニング コードとマイニング トロイの木馬の背後には産業チェーン全体が存在し、サービスは非常に充実しています。

ウェブページを開くとすぐにマイニングが始まります。実際、この機能はウェブサイト開発者自身によって開発されたものではありません。 Web マイニング サービス プロバイダーが提供するインターフェイスを使用します。開発者は、Web ページのコードにコードの文字列を挿入するだけで、収入を得ることができます。

ウェブマイニングサービスプロバイダーは、検証コードマイニング、短縮リンクアクセス、サイレントマイニングなど、さまざまなマイニングサービスをウェブサイト開発者に提供しています。勇気さえあれば、彼らは瞬時にあなたのコンピュータリソースを100％占有することができます。

どの製品にも反復の余地があります。そのため、CoinHive などのウェブマイニングサービスプロバイダーも製品を絶えず進化させており、ウェブサイト開発者はユーザーのコンピューターをマイニングに使用しているという事実をよりうまく隠し、ユーザーに優れたサービスを提供できるようにしています。

たとえば、スパムコメントを防ぐために、多くのウェブサイトでは確認コードをクリックしてロボットをブロックします。 CoinHive も同様の不正行為防止モジュールを提供しています。ユーザーがこのボタンをクリックすると、Web マイニングが開始されます。検証が完了すると、マイニングは停止します。

ユーザーが本当に投稿やログインを待つ気があるなら、10秒以上の検証時間もまったく受け入れることができますが、その代償として、コンピューターのCPUは10数秒以内にマイニングのためにフル稼働し、温度は瞬時に数十度上昇します。

上記の紹介に加えて、マイニングコードを隠してユーザーをマイニングに誘い込むウェブサイトやアプリの使用は、近年多くの犯罪記録を蓄積しています。

• 2017年9月

Coinhive は JS コードを使用してウェブサイトにマイニング プログラムをインストールします

9月18日、世界最大のBTダウンロードサイト「パイレート・ベイ」が、ウェブページに埋め込まれたJavascriptプログラム（JSコード）を使い、ブラウザのコンピュータを「借りて」仮想通貨を採掘する、いわゆるマイニング行為を行っていたことがメディアで明らかになった。

この動作により、ウェブサイト訪問者がウェブサイトを閲覧するときにマイニング プログラムの JS コードが実行され、マイニング コードが挿入されたウェブサイトを閲覧するとき、または 100% フル稼働で実行しているときに CPU 使用率が高くなります。

では、js コードを使用して Web サイトのマイニングを有効にするにはどうすればよいでしょうか?これは、マイニング用の js エンジンの提供を専門とする coinhive (https://coin-hive.com/) という Web サイトにあります。採掘されたコインはXMRと呼ばれ、1XMRの価格は約95ドルです。このウェブサイトでは、マイニング中の CPU 使用量を制限するために調整できる豊富な設定が提供されています。 CPU 使用率が低下した場合、訪問者がウェブサイトを訪問したときにウェブサイトのコードを確認せずにそれに気づくことは困難です。デフォルトでは、誰かが Web サイトにアクセスしている限り、マイニング プログラムは動作します。

このウェブサイト収益化方法の利点は、利益を得るためにウェブサイトに不快な広告を掲載する必要がなくなることです。欠点は、ユーザーの CPU を占有し、消費電力が増加することです。深刻な場合には、訪問者のコンピュータがフリーズする原因になります。

使用される主なコードは次のとおりです。

• 2017年3月

2017年3月、Coinhiveのコードをホストしているウェブサイトがハッキングされ、訪問者のデバイスから処理能力が盗まれた。当時、いくつかのセキュリティ企業は、暗号通貨マイニングサービス Coinhive をウェブユーザーに対する最大の脅威と特定しました。

Coinhive は、Web サイトに埋め込まれた小さなコードを利用する暗号通貨マイニング サービスです。このコードは、ウェブサイトを訪問したブラウザの計算能力の一部または全部を借用し、そのマシンを入札システムに登録して、暗号通貨モネロを採掘します。

Monero は、取引が追跡不可能であり、部外者が 2 者間の Monero 取引を追跡できないという点で Bitcoin とは異なります。当然ながら、この特性により、Monero はサイバー犯罪者にとって特に魅力的になります。

その後、Coinhive はマイニング コードをリリースし、ウェブサイト所有者は煩わしい広告を掲載することなく収入を得ることができると主張しました。しかし、Coinhive のコードが複数のセキュリティ企業によって追跡されるマルウェアのトップに躍り出るまでに、それほど時間はかからなかった。なぜなら、ほとんどの場合、コードは所有者の知らないうちに、または許可なく、ハッキングされた Web サイトにインストールされていたからだ。

マルウェアやトロイの木馬に感染した場合と同様に、Coinhive のコードはユーザーのブラウザをロックし、デバイスのバッテリーを消耗させ、訪問者がサイトを閲覧している間ずっと Monero をマイニングします。

• 2017年11月

当時、ビットコインなどの仮想通貨の価値が上昇を続け、29日には1万1000ドルまで上昇したことから、マイニング事業が復活した。誰もが利益を生む面を見て、採掘軍に加わった。

そこで当時、アダルトサイトを中心とするマイニングサイト群が登場したのです。

ユーザーがそのような Web サイトにアクセスすると、コンピューターの CPU 使用率が急激に増加しますが、パフォーマンスを十分に活用することはできません。この方法により、コンピュータが遅くなったり動かなくなったりするのではないかというユーザーの不安が軽減され、コンピュータを通常どおり使用できるようになると期待されています。

これに加えて、これらの Web サイトはさらに一歩進んで、ブラウザを閉じた後もマイニング コードの実行を継続できるようにします。したがって、ユーザーがこれらのマイニング Web サイトを発見してブラウザを閉じたとしても、関連するコードは引き続き実行され、CPU リソースを占有する可能性があります。

実際、ブラウザを閉じた後も、マイニング コードはシステム内のウィンドウを隠し、実行を続けます。このウィンドウは、システム タスクバーのシステム時刻の上に隠れます。ユーザーはタスクバーのロックを解除してタスクバーの幅を広げることができ、非表示のウィンドウが表示されます。これを閉じると、マイニング コードの実行が停止します。

あるいは、対応する状況に遭遇した場合は、システム タスク マネージャーを介して対応するプロセスを閉じて、関連コードの実行を停止することもできます。

• 2017年12月

スターバックスグループは、ブエノスアイレス支店で顧客が初めてWiFiに接続するときに約10秒の遅延が発生することを確認した。このギャップの間に、ハッカーはユーザーに気付かれずにデジタル通貨をマイニングすることができます。

しかし、攻撃の背後に誰がいるのか、マルウェアが埋め込まれてからどのくらいの期間が経っているのか、そして何人のユーザーが影響を受けたのかは依然として不明です。

マイニングの技術的な側面は次のように説明できます。カフェの WiFi ネットワークで実行できる攻撃であるため、ハッカーは WiFi ネットワークに対して自律的な攻撃を実行できるスクリプトを持っています。この攻撃では、いくつかのデバイスを WiFi ネットワークに接続し、攻撃者は接続中にユーザーとルーター間のトラフィックを傍受します。

上記から、マイニングで一攫千金を夢見るためには、ハッカーは何でもできる（テスラの車にマイニングマシンを取り付けて充電ステーションに接続するなど）ことがわかります。そのため、さまざまな形で虐待を受けることが日常的になりました。