В мире прокатилась новая волна хакерских атак: на более чем 3 500 сайтах был внедрён вредоносный JavaScript, незаметно запускающий майнинг криптовалюты через браузеры пользователей. Это современные потомки знаменитых атак CoinHive — только теперь хакеры действуют ещё хитрее и опаснее.
Когда CoinHive прикрыли из-за мер безопасности в браузерах, злоумышленники не исчезли — напротив, эксперты c/side выявили свежую схему. Теперь вредоносный код тщательно скрыт: он анализирует мощность вашего устройства и через фоновую работу Web Workers начинает добычу монет, оставаясь незамеченным.
Особую угрозу представляет использование WebSockets: с их помощью вирус напрямую получает команды с удалённых серверов, гибко регулируя нагрузку, чтобы вы ничего не заметили и не почувствовали подвоха.
«Это настоящий скрытый майнер, созданный так, чтобы не вызвать подозрений у пользователей и даже средств защиты», — поясняет исследователь безопасности Химаншу Ананд.
Результат плачевен — обычные посетители заражённых сайтов и не догадываются, что их компьютеры тайно используются для чужого обогащения. Все вычисления и потраченное электричество идут на пользу мошенников, а способ заражения сайтов всё ещё тщательно скрывается.
Разбор показал: в эту масштабную схему попали тысячи ресурсов. Причём вредоносный JavaScript загружается с домена, ранее замешанного в краже банковских данных через скрипты Magecart — злоумышленники свободно комбинируют разные способы заработка.
То, что преступники используют одни и те же домены и для майнинга, и для кражи карт, демонстрирует, насколько просто они меняют тактики — JavaScript легко адаптируется для самых разных атак, и переключаться между схемами у них получается мгновенно.
«Сейчас киберпреступники делают ставку не на резкий скачок в нагрузке, а на длительное, почти невидимое "пылесосение" ресурсов: вредоносный код маскируется, уходит в WebSockets и повторно использует прежнюю инфраструктуру», — отмечают специалисты c/side. «Эта техника рассчитана на незаметную работу месяцами».
Параллельно выявлена новая волна атак Magecart: на онлайн-магазины Восточной Азии, работающие на OpenCart, массово внедряют фальшивые платёжные формы, чтобы красть банковские данные покупателей.
За последние недели атаки на сайты и их посетителей стали ещё изощрённее:
- Внедрение вредоносного JavaScript, который через параметр callback настоящего OAuth-эндпоинта Google ("accounts.google[.]com/o/oauth2/revoke") переходит на зашифрованный скрипт, запускающий WebSocket-сессию с сервером злоумышленников
- Добавление Google Tag Manager (GTM) напрямую в базу WordPress (wp_options и wp_posts), чтобы через удалённый JavaScript перекидывать посетителей на более чем 200 спам-ресурсов
- Взлом wp-settings.php на WordPress: через вредоносный PHP-скрипт из ZIP-файла сайт связывается с управляющим сервером, чтобы прокачивать мошеннические ресурсы через поисковую оптимизацию
- Встраивание вредоносного кода в файл подвала темы WordPress (footer.php): так браузер пользователя уводит на опасные сайты
- Распространение фальшивого WordPress-плагина, названного в честь домена-жертвы: он активируется для поисковых ботов, чтобы незаметно наполнять результаты поиска спамом в интересах мошенников
- Распространение поддельных Gravity Forms для WordPress (с ошибочными версиями 2.9.11.1 и 2.9.12): скачавшись с "официальной" страницы, они соединяются с удалённым сервером, догружают новые вредоносные скрипты и создают аккаунт админа — полный контроль для хакера обеспечен
«Если вредонос туда попал, — предупреждают разработчики Gravity Forms, — он тут же блокирует обновления и связь с официальными сайтами, а потом скачивает дополнительные вредоносные файлы извне».
«Когда вредоносный код срабатывает, создаётся новый администратор сайта. Для злоумышленников это — открытая дверь: доступ к сайту, внедрение любых скриптов, изменение профилей других админов, кража любых данных WordPress».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru