После захвата доменов службы майнинга Monero Трой Хант из Have I Been Pwned получил право размещать на coinhive.com и других связанных доменах Coinhive предупреждения о том, что они были взломаны. Coinhive была платформой для майнинга криптовалюты в браузере, которая позволяла веб-сайтам внедрять код JavaScript в веб-сайты для добычи Monero.
Иногда платформу использовали в законных целях, к примеру, для сбора средств на благотворительность, но иногда она использовалась, чтобы незаконно добывать криптовалюту за счет мощностей ПК пользователя.
Coinhive удалось внедрить более чем в 200 тысячах маршрутизаторов, добавить в расширения браузера, внедрить в IIS-серверы от Microsoft, Microsoft Azure и даже на правительственные сайты с помощью атаки цепочки поставок JavaScript.
Платформа прекратила работу 8 марта 2019 года. Через год сообщалось, что объемы криптоджекинга упали на 99%. Однако и спустя два года CoinHive все еще внедряется на сайты.
Трой Хант сообщил, что в мае 2020 года он бесплатно получил как основной домен coinhive.com, так и несколько других вспомогательных, связанных с сервисом, например cnhv.co, который использовался как сокращатель ссылок.
Поскольку эти домены размещены за Cloudflare, Hunt использовал встроенную аналитику, чтобы увидеть, что огромное количество посетителей все еще пытается загрузить JavaScript с доменов CoinHive. Пять стран, которые направляют трафик на домены CoinHive, — это Китай, Россия, США, Грузия и Вьетнам. После анализа сайтов, передающих трафик на домены Coinhive, Хант заявил, что скрипты CoinHive по-прежнему вводятся, в основном, с сайтов Китая и России.
Большая часть этого трафика может идти посредством взломанных маршрутизаторов MikroTik, которые продолжают внедрять скрипты CoinHive, когда пользователи посещают веб-сайты.
Хант сообщил, что перенаправляет трафик с домена coinhive.com на свой новый пост в блоге о Coinhive на TroyHunt.com. Когда люди посещают сайты с внедренными скриптами Coinhive, появляется диалоговое окно, которое гласит: «Этот веб-сайт попытался запустить криптомайнер в вашем браузере».
По словам Ханта, этот пример показывает, что злоумышленники могут использовать заброшенные домены для внедрения скриптов в браузеры пользователей.
