image

Advertentienetwerk omzeilt AdBlock met cryptominer

zaterdag 24 februari 2018, 10:13 door Redactie, 16 reacties
Laatst bijgewerkt: 24-02-2018, 19:53

Onderzoekers van securitybedrijf Qihoo 360 hebben een advertentienetwerk ontdekt dat sinds december vorig jaar het eigen platform gebruikt om browsers van internetgebruikers zonder hun toestemming naar cryptovaluta te laten mijnen en daarbij actief maatregelen neemt om de AdBlock-adblocker te omzeilen.

De rol van het advertentienetwerk is om advertenties van adverteerders op websites te tonen. Het bedrijf zou echter het eigen advertentieplatform voor cryptomining gebruiken, aldus Qihoo 360. Het is in de analyse van de onderzoekers onduidelijk of het advertentienetwerk hiervoor heimelijk code aan de advertenties van adverteerders toevoegt of eigen advertenties gebruikt. Wel is duidelijk dat het advertentienetwerk maatregelen neemt om AdBlock te omzeilen, een zeer populaire adblocker met naar eigen zeggen meer dan 40 miljoen gebruikers.

Hiervoor maakt het bedrijf gebruik van een 'domain generation algorithm' (dga) waarmee allerlei willekeurige domeinnamen worden gegenereerd waarvandaan de JavaScript-code van de Coinhive-cryptominer wordt geladen. Dit zou het lastig voor tools als AdBlock maken om de cryptominer te detecteren, aldus de onderzoekers, die verder opmerken dat de confrontatie tussen advertentienetwerken en adblockers niets nieuws is, maar dat de betrokkenheid bij cryptomining wel de aandacht verdient.

De advertenties met de cryptominer zouden voornamelijk op pornosites verschijnen, aldus de analyse waarin deze domeinen ook worden genoemd. Volgens de onderzoekers is de naam van het advertentienetwerk "P Inc.". In een voetnoot wordt echter gewezen naar het PopAds-advertentienetwerk, dat eind 2016 al een manier aankondigde om adblockers te omzeilen.

Reacties (16)
24-02-2018, 10:33 door Anoniem
Mede daarom dus een outgoing firewall op je client.
24-02-2018, 14:21 door Anoniem
... en daarom is er noscript.
24-02-2018, 15:23 door Anoniem
Niet vorig jaar, maar in 2016. Mouseover de tekst "1 jaar geleden" in de Reddit-post en je ziet dat de PopAds-aankondiging daar gepost is in augustus 2016.
24-02-2018, 16:12 door Anoniem
https://github.com/greatis/Anti-WebMiner
24-02-2018, 17:12 door Anoniem
Door Anoniem: Mede daarom dus een outgoing firewall op je client.
Een outgoing firewall die per in de browser draaiend javascript de connecties wel/niet toestaat??
24-02-2018, 17:45 door Anoniem
Door Anoniem:
Door Anoniem: Mede daarom dus een outgoing firewall op je client.
Een outgoing firewall die per in de browser draaiend javascript de connecties wel/niet toestaat??
Eh, ja. Wat is daar raar aan? Vrijwel helemaal standaard volgens mij.
24-02-2018, 20:26 door Hyper - Bijgewerkt: 24-02-2018, 20:27
Een oplossing kan zijn om JavaScript te blokkeren en per domein te whitelisten. (NoScript)
Dit is al jaren essentiaal als je je privacy nog een beetje liefhebt.
24-02-2018, 20:30 door Anoniem
Nou
Unable to connect

Firefox can't establish a connection to the server at blog.netlab.360.com.

The site could be temporarily unavailable or too busy. Try again in a few moments.
If you are unable to load any pages, check your computer's network connection.
If your computer or network is protected by a firewall or proxy, make sure that Tor Browser is permitted to access the Web.
Laten we het er maar op houden dat dit bedrijf bepaalde oplossingen bewust niet mee heeft genomen in haar stoere aandachtklikvraag-conclusies.

Torbrowser wordt geleverd met NoScript en een unieke security slider die je supereenvoudig in verschillende standen kan zetten zodat je niet zelf een NoScript configuratie hoeft te doen.

Beter kan bijna niet,
o, jawel,
Torbrowser vanaf TAILS OS draaien.

Quihoe???

Nou zo dus!
Quihaha
;p
24-02-2018, 21:04 door Anoniem
Pi Hole lost dit op (en verlost je van veel meer irritante reclame), Pi Hole is een Open Source programma dat je op een Raspberry Pi draait.
25-02-2018, 09:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mede daarom dus een outgoing firewall op je client.
Een outgoing firewall die per in de browser draaiend javascript de connecties wel/niet toestaat??
Eh, ja. Wat is daar raar aan? Vrijwel helemaal standaard volgens mij.
Nog nooit gezien! Kom maar op met de producten die dit kunnen doen!
25-02-2018, 10:54 door [Account Verwijderd]
..."Hiervoor maakt het bedrijf gebruik van een 'domain generation algorithm' (dga) waarmee allerlei willekeurige domeinnamen worden gegenereerd waarvandaan de JavaScript-code van de Coinhive-cryptominer wordt geladen. Dit zou het lastig voor tools als AdBlock maken om de cryptominer te detecteren...

Door Hyper, 24-02-2018, 20:26 uur: Een oplossing kan zijn om JavaScript te blokkeren en per domein te whitelisten. (NoScript)..

Daarom is de combinatie van adblock en scriptblock zo essentieel.
De een heft de tekortkomingen van de ander op en vice versa.

Ga maar eens naar: https://timesofindia.indiatimes.com/articlelist/296589292.cms
Dat is een volkomen legitieme Indiase nieuwssite.
Netcraft report: https://toolbar.netcraft.com/site_report?url=https://timesofindia.indiatimes.com

Op deze nieuwssite blokkeert No-script nog voor ik tijdelijk heb toegestaan scripts uit te voeren, al negen andere domeinen, en uBlock blokkeert drie ad-scripts.
Ik kan deze site prima lezen zonder al die andere domeinen tijdelijk te white-listen, maar de ervaring leert dat als je alles 'openzet', dus ook uBlock, je nogaleens achterover van je stoel tuimelt van verbazing hoeveel - vaak tientallen! - adds en scripts feitelijk worden afgeketst door add- en scriptblockers op een (hoofd)domeinnaam cq website.
25-02-2018, 14:03 door Anoniem
Door Anoniem: Pi Hole lost dit op (en verlost je van veel meer irritante reclame), Pi Hole is een Open Source programma dat je op een Raspberry Pi draait.

Oei. Ik draai het op een HP DL380 gen6. Mag dat wel of moet ik terug naar een raspberry pi?
25-02-2018, 16:55 door Tha Cleaner
Door Anoniem: Mede daarom dus een outgoing firewall op je client.
Bied volgens mij niet heel erg veel extra bescherming, aangezien het in de browser draait? En laat een eigenschap van een browser nu net eens zijn.... Dat die moet het Internet moet communiceren?


Door Anoniem: Pi Hole lost dit op (en verlost je van veel meer irritante reclame), Pi Hole is een Open Source programma dat je op een Raspberry Pi draait.
Als adblock hem eigenlijk niet of zeer lastig tegen kan houden?
Waarom zou Pi block het dan wel doen?
25-02-2018, 17:57 door Anoniem
Voor het blokkeren van DGA gedreven malware is er zeker wel wat licht te werpen op de achterliggende patronen.

Als we de achterliggende IP's van de gegenereerde domeinen kennen, zijn vaak dezelfde IP adressen in gebruik.

Deze adressen hebben vaak ook een "dedicated" domein, dat al de DNS authorisatie ervoor verricht.

Je kan ook altijd gemakkelijk vaststellen waar de malcreators vandaan komen, door erop te letten,
wanneer ze vrij nemen van het registreren van domeinnamen en ook in wiens achtertuinen ze liever niet gezien willen worden. Een cybercrimineel blijft uit de eigen buurt, vanwege de verhoogde pakkans of het ontbreken van een gedoogbeleid.

Als je dat allemaal weet, hoef je er ook niet zo vaak meer over wakker te liggen. toch?

Jodocus Oyevaer.
26-02-2018, 12:41 door Briolet
Door Tha Cleaner:
Door Anoniem: Pi Hole lost dit op (en verlost je van veel meer irritante reclame), Pi Hole is een Open Source programma dat je op een Raspberry Pi draait.
Als adblock hem eigenlijk niet of zeer lastig tegen kan houden?
Waarom zou Pi block het dan wel doen?

Pi Hole kan dit per definitie juist niet tegenhouden. Pi Hole houd alleen bekende domeinen tegen terwijl hier juist nieuwe random domeinen gebruikt worden. Blijkbaar reageert anoniem zonder het artikel hierboven gelezen te hebben, of hij weet niet hoe zijn eigen Pi Hole werkt.
27-02-2018, 11:04 door Anoniem
Door Briolet:
Door Tha Cleaner:
Door Anoniem: Pi Hole lost dit op (en verlost je van veel meer irritante reclame), Pi Hole is een Open Source programma dat je op een Raspberry Pi draait.
Als adblock hem eigenlijk niet of zeer lastig tegen kan houden?
Waarom zou Pi block het dan wel doen?

Pi Hole kan dit per definitie juist niet tegenhouden. Pi Hole houd alleen bekende domeinen tegen terwijl hier juist nieuwe random domeinen gebruikt worden. Blijkbaar reageert anoniem zonder het artikel hierboven gelezen te hebben, of hij weet niet hoe zijn eigen Pi Hole werkt.

Pi Hole houdt echter wel de verbindingen naar de verschillende coinhive-domeinen tegen, waarvan het standaard javascript bestand gebruikt werd op de 8 servers van het betreffende advertentienetwerk, in combinatie met de bijbehorende coinhive gegevens. Veel meer dan 5 regels javascript stond er niet op die servers. En om nou te zeggen dat de DGA op een CDN (cdn77.com) zetten om de echte servers te verbergen hoogstaande technologie is, niet bepaald. Blijkbaar reageert de persoon Briolet zonder deze case wat beter te hebben bekeken, om hierbij vervolgens andere anoniemen te kunnen afvallen op "een gebrek aan kennis".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.