Crypto Prices

Криптоджекинг снова активен: вредоносное ПО для майнинга Monero поразило более 3,500 сайтов

10 часов назад
1 мин. чтения
5 просмотров

Криптомайнинг через веб-сайты

Хакеры заразили более 3,500 веб-сайтов скрытными скриптами для криптомайнинга, которые незаметно захватывают браузеры посетителей для генерации Monero — криптовалюты, ориентированной на конфиденциальность, что затрудняет отслеживание транзакций. Вредоносное ПО не крадет пароли и не блокирует файлы. Вместо этого оно тихо превращает браузеры пользователей в машины для майнинга Monero, отбирая небольшие объемы вычислительной мощности без согласия владельцев.

Обнаружение и особенности кампании

Кампания, которая все еще активна на момент написания, была впервые обнаружена исследователями из компании по кибербезопасности c/side. «Снижая использование ЦП и скрывая трафик в потоках WebSocket, она избегает характерных признаков традиционного криптоджекинга,» — сообщили в c/side в пятницу.

Криптоджекинг, иногда пишущийся слитно, — это несанкционированное использование устройства для майнинга криптовалюты, как правило, без ведома владельца.

Эта тактика впервые привлекла внимание общественности в конце 2017 года с ростом Coinhive, ныне несуществующего сервиса, который на короткое время доминировал на сцене криптоджекинга, прежде чем был закрыт в 2019 году.

Возвращение криптоджекинга

Спустя более полугода, тактика, похоже, снова тихо возвращается: она переходит от шумных скриптов, перегружающих ЦП, к малозаметным майнерам, созданным для скрытности и устойчивости. Вместо того чтобы перегревать устройства, сегодняшние кампании тихо распространяются по тысячам сайтов, следуя новой стратегии, которая, как говорит c/side, направлена на то, чтобы «оставаться незаметными и медленно майнить.»

Этот сдвиг в стратегии не случаен, согласно словам исследователя в области информационной безопасности, знакомого с кампанией, который говорил с Decrypt при условии анонимности. Группа, похоже, повторно использует старую инфраструктуру, чтобы приоритизировать долгосрочный доступ и пассивный доход, сообщили Decrypt.

«Эти группы, скорее всего, уже контролируют тысячи взломанных сайтов на WordPress и интернет-магазинов из прошлых кампаний Magecart,» — сказал исследователь Decrypt.

Методы внедрения и обнаружения

Кампании Magecart — это атаки, при которых хакеры внедряют вредоносный код на страницы оформления заказа, чтобы украсть платежную информацию. «Установка майнера была тривиальной: они просто добавили еще один скрипт для загрузки обфусцированного JS, повторно используя существующий доступ,» — отметил исследователь.

Однако, по словам эксперта, выделяется то, как тихо работает кампания, что затрудняет ее обнаружение старыми методами. «Один из способов, как раньше обнаруживались скрипты криптоджекинга, заключался в их высоком использовании ЦП,» — сообщили Decrypt. «Эта новая волна избегает этого, используя ограниченные WebAssembly-майнеры, которые остаются под радаром, ограничивая использование ЦП и общаясь через WebSockets.»

WebAssembly позволяет коду работать быстрее в браузере, в то время как WebSockets поддерживают постоянное соединение с сервером. В совокупности это позволяет криптомайнеру работать, не привлекая внимания.

Цели и риски

Риск не заключается в «прямом нацеливании на пользователей криптовалюты, поскольку скрипт не опустошает кошельки, хотя технически они могли бы добавить дренажник кошелька в полезную нагрузку,» — сказал анонимный исследователь Decrypt. «Настоящая цель — владельцы серверов и веб-приложений,» — добавили они.

Популярные статьи