Kryptoměny | Monero

Na webu prezidentského kandidáta Michala Horáčka se nacházel malware pro těžbu kryptoměn

Aktualizováno: Těžební kód už je ze stránek odstraněný. Podle Jiřího Táborského z týmu Michala Horáčka se jednalo o chybu dodavatele. Skript na webu běžel nejvýše pár desítek minut, přičemž měl být součástí knihovny třetí strany, takže o jeho nasazení zpočátku nevěděl ani tvůrce webu. Podle Táborského se jednalo pouze o relikt malwaru a reálně kryptoměnu netěžil.


Webové stránky 100dni.cz propagují prezidentského kandidáta Michala Horáčka a dle DNS záznamu je provozuje přímo jeho tým Máme na víc, z. s. To je v naprostém pořádku, nebýt ovšem pečlivě schovaného skriptu, kterého si všimne leda snad nová Opera 50, anebo některé antivirové programy. Třeba Avast.

Právě ten upozornil naši čtenářku Sandru na podezřelý prvek IFRAME uvnitř HTML kódu, ve kterém se sice na první pohled načítá zcela legitimní knihovna jQuery UI, ovšem ve skutečnosti se jedná o tento skript: https://api.triamondgroup.com/themes/api/assets/js/jquery-ui.js.

2021e689-5ff1-4439-8acc-33a7781198acb4b4e840-4232-4dbf-908b-028d879f3208d0cd11c4-1e94-42b6-805e-4801063a254d
Web 100dni.cz obsahuje v kódu neviditelný IFRAME. Načte se v něm javascriptový kód těžební služby CoinHive.

Když jej otevřete a začnete jej procházet, narazíte na klíčové slovíčko CoinHive, což je služba, která umí pomocí javascriptu v moderních prohlížečích těžit kryptoměnu Monero (XMR).

109089855
A toto je konečně načtený skript ze skrytého rámu. Zvýrazněné výrazy coinhive jasně ukazují, k čemu slouží.

Samotná těžba kryptoměn v prohlížeči problém není – podle mého osobního názoru by to naopak mohla být zajímavá alternativa ke klasické display reklamě, problém však spočívá v tom, že by na ni měl web, tedy každý slušný web, návštěvníka jasně upozornit.

Těžba kryptoměn totiž zatěžuje procesor a zejména návštěvníky s mobilem v ruce nebo laptopem v klíně pak nepotěší větší zahřívání a spotřeba energie z baterie. V zápatí takového webu by mělo být černé na bílém napsané: „Výroba těchto stránek nás něco stojí, a tak si během návštěvy vypůjčíme pár procent vašeho procesorového času. Děkujeme!“

Weby to však nedělají, a tak se například norská Opera rozhodla, že bude podobné javascripty volitelně blokovat a v poslední verzi 50 nabídla integrovaný anti-těžební filtr NoCoin.

Těžební javascripty na webových stránkách už podobným způsobem detekují i některé antivirové programy – například zmíněný Avast.

V případě stránek 100dni.cz není návštěvník nijak informován a skript samotný je pečlivě maskovaný, aby si jej nikdo na první pohled nevšiml. Na webu zároveň o jeho použití není ani zmínky.

Nevěděli jsme o tom

Kontaktovali jsme tým Michala Horáčka, který o problematickém skriptu na stránkách neměl nejmenší tušení a obrátil se na zpracovatele webových stránek Ewing Public Relations, s.r.o. Těžební skript tedy v dohledné době z webu zmizí.

Diskuze (16) Další článek: Sonda Juno pořídila další fantastické fotky Jupitera

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,