Кіберзлочинці впровадили приховані скрипти для майнінгу токенів Monero (XMR) на більш ніж 3 500 вебресурсах. На відміну від класичних шкідливих програм, це ПЗ не викрадає облікові дані та не шифрує дані на пристроях. Його головна мета — непомітно використовувати обчислювальні ресурси відвідувачів для видобутку криптовалюти без їхнього відома та згоди.
Про це розповідає ProIT
Як працює прихований майнінг на сайтах
Зловмисники реалізували складний механізм, що дозволяє їм залишатися непоміченими. Обмежуючи навантаження на процесор користувача та маскуючи трафік у потоках WebSocket, хакери уникають типової поведінки криптоджекінгу — коли пристрій жертви використовується для видобутку криптовалюти без дозволу. Такий підхід почав активно використовуватися ще у 2017 році з появою Coinhive, але зараз технології стали ще більш прихованими. Якщо раніше подібні скрипти значно уповільнювали роботу системи, то тепер вони працюють малопомітно та не викликають підозр у користувачів.
Схема зараження та особливості атаки
Зараження починається з ін’єкції шкідливого JavaScript-файлу (наприклад, karma[.]js) у код вебсайту. Далі скрипт перевіряє, чи підтримує пристрій WebAssembly, визначає тип пристрою та можливості браузера для оптимального розподілу навантаження. Після цього створюються фонові процеси, які через WebSockets або HTTPS отримують завдання на майнінг та надсилають результати на сервери управління хакерів (C2-сервери).
- Ін’єкція скрипта у вихідний код сайту
- Аналіз можливостей системи користувача
- Створення фонового процесу майнінгу
- Передача даних на віддалений C2-сервер через WebSockets або HTTPS
Відомо, що домен trustisimportant[.]fun використовується як для криптоджекінгу, так і для атак Magecart, коли зловмисники крадуть дані кредитних карток під час оформлення покупок в інтернет-магазинах. Сервери з IP-адресами 89.58.14.251 та 104.21.80.1 були ідентифіковані як командні центри для управління цими атаками.
“Хакери заразили понад 3,500 вебсайтів прихованими скриптами для майнінгу токенів Monero (XMR). При цьому шкідливе ПЗ не краде паролі й не блокує файли. Натомість при відвідуванні зараженого сайту воно перетворює браузери користувачів на рушії майнінгу Monero, використовуючи невеликі обсяги обчислювальної потужності без згоди жертв”.
Загалом, подібні атаки залишаються серйозною кіберзагрозою для власників сайтів і звичайних користувачів. Фахівці рекомендують регулярно оновлювати програмне забезпечення, відстежувати підозрілу активність браузера та використовувати сучасні антивірусні рішення для запобігання несанкціонованому майнінгу.