Хакеры заразили более 3,500 веб-сайтов скрытыми скриптами для майнинга токенов Monero (XMR). При этом вредоносное ПО не ворует пароли и не блокирует файлы. Вместо этого при посещении зараженного сайта оно превращает браузеры пользователей в движки майнинга Monero, используя небольшие объемы вычислительной мощности без согласия жертв.
Ограничивая использование CPU и скрывая трафик в потоках WebSocket, хакерам удается избегать характерных признаков традиционного криптоджекинга. То есть, несанкционированного использования чьего-то устройства для майнинга криптовалют. Эта тактика впервые привлекла внимание широкой общественности в конце 2017 года с появлением сервиса Coinhive. Его закрыли в 2019 году.
Ранее скрипты перегружали процессоры и замедляли устройства. Теперь вредоносное ПО остается незамеченным и майнит медленно, не вызывая подозрений.
Этапы заражения:
- Инъекция вредоносного скрипта: JavaScript-файл (например, karma[.]js) добавляется к коду веб-сайта, который запускает майнинг.
- Скрипт проверяет поддержку WebAssembly, тип устройства и возможности браузера для оптимизации нагрузки.
- Создание фоновых процессов.
- Через WebSockets или HTTPS скрипт получает задание по майнингу и отправляет результаты на C2-сервер (командный центр хакеров).
Домен trustisimportant[.]fun связан как с криптоджекингом, так и с кампаниями Magecart (считывание данных кредитных карт при оформлении заказов в интернет-магазинах). IP-адреса: 89.58.14.251 и 104.21.80.1 выполняли функции серверов управления и контроля (C2).
Источник: c/side
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: