Хакери заразили понад 3,500 вебсайтів прихованими скриптами для майнінгу токенів Monero (XMR). При цьому шкідливе ПЗ не краде паролі й не блокує файли. Натомість при відвідуванні зараженого сайту воно перетворює браузери користувачів на рушії майнінгу Monero, використовуючи невеликі обсяги обчислювальної потужності без згоди жертв.

Обмежуючи використання CPU і приховуючи трафік у потоках WebSocket, хакерам вдається уникати характерних ознак традиційного криптоджекінгу. Тобто, несанкціонованого використання чийогось пристрою для майнінгу криптовалют. Ця тактика вперше привернула увагу широкої громадськості наприкінці 2017 року з появою сервісу Coinhive. Його закрили у 2019 році.

Раніше скрипти перевантажували процесори й сповільнювали пристрої. Тепер шкідливе ПЗ залишається непоміченим і майнить повільно, не викликаючи підозр.

Етапи зараження:

• Ін’єкція зловмисного скрипта: JavaScript-файл (наприклад, karma[.]js) додається до коду вебсайту, який запускає майнінг.
• Скрипт перевіряє підтримку WebAssembly, тип пристрою та можливості браузера для оптимізації навантаження.
• Створення фонових процесів.
• Через WebSockets або HTTPS скрипт отримує завдання з майнінгу і надсилає результати на C2-сервер (командний центр хакерів).

Домен trustisimportant[.]fun пов’язаний як з криптоджекінгом, так і з кампаніями Magecart (зчитування даних кредитних карток при оформленні замовлень у інтернет-магазинах). IP-адреси: 89.58.14.251 та 104.21.80.1 виконували функції серверів управління та контролю (C2).

Джерело: c/side