Depuis septembre 2017, Coinhive permet à de nombreux sites de miner des crypto-monnaies dans le navigateur de leurs visiteurs, d'abord sans leur consentement (voir notre analyse). La société fournit plusieurs services, dont un raccourcisseur d'URL pour monétiser le renvoi vers un site tiers, via une page dédiée avant d'atteindre la destination.

L'astuce permet de miner sur des sites, sans qu'ils n'intègrent d'eux-mêmes le script de Coinhive, habituellement obligatoire. Donc d'obtenir des revenus sur des liens vers des tiers.

Selon Malwarebytes, cité par The Hacker News, une campagne exploite des milliers de sites compromis (via leur CMS) pour charger un cadre (iframe) de 1x1 pixel, contenant une URL raccourcie, minant discrètement via le navigateur.

Une fois les calculs terminés, la page est rechargée pour relancer l'exploitation. Malwarebytes note d'ailleurs qu'au lieu des 1 024 hashes à trouver par défaut, cette campagne demande aux victimes d'en déterminer 3 712 000.

L'opération serait celle d'abord détectée par des chercheurs de Sucuri en mai. Malwarebytes recommande d'utiliser des extensions contre ces mineurs, comme minerBlock ou No Coin.