Хакеры заразили более 3500 сайтов скрытым майнером Monero
Злоумышленники инфицировали более 3500 веб-сайтов скриптами для скрытого майнинга криптовалют. Об этом сообщила компания по кибербезопасности c/side.
Вредонос не крадет пароли и не блокирует файлы. Вместо этого он использует небольшую часть вычислительной мощности без согласия пользователей для добычи Monero. Майнер избегает подозрительной нагрузки CPU, поэтому его трудно обнаружить.
«Благодаря ограничению использования процессора и маскировке трафика через WebSocket-соединения этот скрипт избегает типичных признаков традиционного криптоджекинга», — отметили аналитики.
Криптоджекинг — несанкционированное использование чужих устройств для майнинга цифровых активов, как правило, без ведома их владельцев. Эта тактика появилась в 2017 году с запуском сервиса Coinhive. В 2019 его закрыли. Тогда данные о распространенности подобных вредоносов были противоречивыми: некоторые источники сообщали, что активность снизилась, но другие лаборатории фиксировали ее рост на 29%.
Спустя пять лет криптоджекинг вернулся, но в более скрытой форме. Раньше скрипты перегружали процессоры и замедляли работу устройств. Теперь главная стратегия вредоносов — оставаться незаметными и майнить медленно, не вызывая подозрений, отметил анонимный эксперт по кибербезопасности в комментарии Decrypt.
Аналитики c/side описали основные этапы атаки:
- внедрение вредоносного скрипта — в код сайта добавляется JavaScript-файл (например, karma[.]js), который запускает майнинг;
- проверка поддержки WebAssembly, типа устройства и возможностей браузера для оптимизации нагрузки;
- создание фоновых процессов;
- связь с сервером управления — через WebSockets или HTTPS скрипт получает задания для майнинга и отправляет результаты на C2-сервер — командный центр хакеров.
Вредонос не нацелен на кражу криптокошельков. Однако технически хакеры могут воспользоваться и такой функцией. В зоне риска — владельцы серверов и веб-приложений, чьи сайты становятся платформой для майнинга.
Напомним, 12 июня специалисты «Лаборатории Касперского» сообщили о новой волне скрытого майнинга в России. Хакерская группировка Librarian Ghouls, также известная как Rare Werewolf, взломала сотни российских устройств.