Криптомайнинг через веб-сайты
Хакеры заразили более 3,500 веб-сайтов скрытными скриптами для криптомайнинга, которые незаметно захватывают браузеры посетителей для генерации Monero — криптовалюты, ориентированной на конфиденциальность, что затрудняет отслеживание транзакций. Вредоносное ПО не крадет пароли и не блокирует файлы. Вместо этого оно тихо превращает браузеры пользователей в машины для майнинга Monero, отбирая небольшие объемы вычислительной мощности без согласия владельцев.
Обнаружение и особенности кампании
Кампания, которая все еще активна на момент написания, была впервые обнаружена исследователями из компании по кибербезопасности c/side. «Снижая использование ЦП и скрывая трафик в потоках WebSocket, она избегает характерных признаков традиционного криптоджекинга,» — сообщили в c/side в пятницу.
Криптоджекинг, иногда пишущийся слитно, — это несанкционированное использование устройства для майнинга криптовалюты, как правило, без ведома владельца.
Эта тактика впервые привлекла внимание общественности в конце 2017 года с ростом Coinhive, ныне несуществующего сервиса, который на короткое время доминировал на сцене криптоджекинга, прежде чем был закрыт в 2019 году.
Возвращение криптоджекинга
Спустя более полугода, тактика, похоже, снова тихо возвращается: она переходит от шумных скриптов, перегружающих ЦП, к малозаметным майнерам, созданным для скрытности и устойчивости. Вместо того чтобы перегревать устройства, сегодняшние кампании тихо распространяются по тысячам сайтов, следуя новой стратегии, которая, как говорит c/side, направлена на то, чтобы «оставаться незаметными и медленно майнить.»
Этот сдвиг в стратегии не случаен, согласно словам исследователя в области информационной безопасности, знакомого с кампанией, который говорил с Decrypt при условии анонимности. Группа, похоже, повторно использует старую инфраструктуру, чтобы приоритизировать долгосрочный доступ и пассивный доход, сообщили Decrypt.
«Эти группы, скорее всего, уже контролируют тысячи взломанных сайтов на WordPress и интернет-магазинов из прошлых кампаний Magecart,» — сказал исследователь Decrypt.
Методы внедрения и обнаружения
Кампании Magecart — это атаки, при которых хакеры внедряют вредоносный код на страницы оформления заказа, чтобы украсть платежную информацию. «Установка майнера была тривиальной: они просто добавили еще один скрипт для загрузки обфусцированного JS, повторно используя существующий доступ,» — отметил исследователь.
Однако, по словам эксперта, выделяется то, как тихо работает кампания, что затрудняет ее обнаружение старыми методами. «Один из способов, как раньше обнаруживались скрипты криптоджекинга, заключался в их высоком использовании ЦП,» — сообщили Decrypt. «Эта новая волна избегает этого, используя ограниченные WebAssembly-майнеры, которые остаются под радаром, ограничивая использование ЦП и общаясь через WebSockets.»
WebAssembly позволяет коду работать быстрее в браузере, в то время как WebSockets поддерживают постоянное соединение с сервером. В совокупности это позволяет криптомайнеру работать, не привлекая внимания.
Цели и риски
Риск не заключается в «прямом нацеливании на пользователей криптовалюты, поскольку скрипт не опустошает кошельки, хотя технически они могли бы добавить дренажник кошелька в полезную нагрузку,» — сказал анонимный исследователь Decrypt. «Настоящая цель — владельцы серверов и веб-приложений,» — добавили они.