Более 3,500 веб-сайтов заразили скрытыми майнерами Monero — хакеры зарабатывали криптовалюту на посетителях

Хакеры заразили более 3,500 веб-сайтов скрытыми скриптами для майнинга токенов Monero (XMR). При этом вредоносное ПО не ворует пароли и не блокирует файлы. Вместо этого при посещении зараженного сайта оно превращает браузеры пользователей в движки майнинга Monero, используя небольшие объемы вычислительной мощности без согласия жертв.

Ограничивая использование CPU и скрывая трафик в потоках WebSocket, хакерам удается избегать характерных признаков традиционного криптоджекинга. То есть, несанкционированного использования чьего-то устройства для майнинга криптовалют. Эта тактика впервые привлекла внимание широкой общественности в конце 2017 года с появлением сервиса Coinhive. Его закрыли в 2019 году.

Ранее скрипты перегружали процессоры и замедляли устройства. Теперь вредоносное ПО остается незамеченным и майнит медленно, не вызывая подозрений.

Этапы заражения:

• Инъекция вредоносного скрипта: JavaScript-файл (например, karma[.]js) добавляется к коду веб-сайта, который запускает майнинг.
• Скрипт проверяет поддержку WebAssembly, тип устройства и возможности браузера для оптимизации нагрузки.
• Создание фоновых процессов.
• Через WebSockets или HTTPS скрипт получает задание по майнингу и отправляет результаты на C2-сервер (командный центр хакеров).

Домен trustisimportant[.]fun связан как с криптоджекингом, так и с кампаниями Magecart (считывание данных кредитных карт при оформлении заказов в интернет-магазинах). IP-адреса: 89.58.14.251 и 104.21.80.1 выполняли функции серверов управления и контроля (C2).

Источник: c/side