Найти в Дзене
Герман Геншин
20,3 тыс подписчиков

Взлом века: Более 3 500 сайтов тайно используют ваш компьютер для майнинга криптовалюты — вы уже стали жертвой?

60
3 мин
В мире прокатилась новая волна хакерских атак: на более чем 3 500 сайтах был внедрён вредоносный JavaScript, незаметно запускающий майнинг криптовалюты через браузеры пользователей. Это современные потомки знаменитых атак CoinHive — только теперь хакеры действуют ещё хитрее и опаснее. Когда CoinHive прикрыли из-за мер безопасности в браузерах, злоумышленники не исчезли — напротив, эксперты c/side выявили свежую схему. Теперь вредоносный код тщательно скрыт: он анализирует мощность вашего устройства и через фоновую работу Web Workers начинает добычу монет, оставаясь незамеченным. Особую угрозу представляет использование WebSockets: с их помощью вирус напрямую получает команды с удалённых серверов, гибко регулируя нагрузку, чтобы вы ничего не заметили и не почувствовали подвоха. «Это настоящий скрытый майнер, созданный так, чтобы не вызвать подозрений у пользователей и даже средств защиты», — поясняет исследователь безопасности Химаншу Ананд. Результат плачевен — обычные посетители зара

В мире прокатилась новая волна хакерских атак: на более чем 3 500 сайтах был внедрён вредоносный JavaScript, незаметно запускающий майнинг криптовалюты через браузеры пользователей. Это современные потомки знаменитых атак CoinHive — только теперь хакеры действуют ещё хитрее и опаснее.

Когда CoinHive прикрыли из-за мер безопасности в браузерах, злоумышленники не исчезли — напротив, эксперты c/side выявили свежую схему. Теперь вредоносный код тщательно скрыт: он анализирует мощность вашего устройства и через фоновую работу Web Workers начинает добычу монет, оставаясь незамеченным.

Особую угрозу представляет использование WebSockets: с их помощью вирус напрямую получает команды с удалённых серверов, гибко регулируя нагрузку, чтобы вы ничего не заметили и не почувствовали подвоха.

«Это настоящий скрытый майнер, созданный так, чтобы не вызвать подозрений у пользователей и даже средств защиты», — поясняет исследователь безопасности Химаншу Ананд.

Результат плачевен — обычные посетители заражённых сайтов и не догадываются, что их компьютеры тайно используются для чужого обогащения. Все вычисления и потраченное электричество идут на пользу мошенников, а способ заражения сайтов всё ещё тщательно скрывается.

Разбор показал: в эту масштабную схему попали тысячи ресурсов. Причём вредоносный JavaScript загружается с домена, ранее замешанного в краже банковских данных через скрипты Magecart — злоумышленники свободно комбинируют разные способы заработка.

То, что преступники используют одни и те же домены и для майнинга, и для кражи карт, демонстрирует, насколько просто они меняют тактики — JavaScript легко адаптируется для самых разных атак, и переключаться между схемами у них получается мгновенно.

«Сейчас киберпреступники делают ставку не на резкий скачок в нагрузке, а на длительное, почти невидимое "пылесосение" ресурсов: вредоносный код маскируется, уходит в WebSockets и повторно использует прежнюю инфраструктуру», — отмечают специалисты c/side. «Эта техника рассчитана на незаметную работу месяцами».

Параллельно выявлена новая волна атак Magecart: на онлайн-магазины Восточной Азии, работающие на OpenCart, массово внедряют фальшивые платёжные формы, чтобы красть банковские данные покупателей.

За последние недели атаки на сайты и их посетителей стали ещё изощрённее:

  • Внедрение вредоносного JavaScript, который через параметр callback настоящего OAuth-эндпоинта Google ("accounts.google[.]com/o/oauth2/revoke") переходит на зашифрованный скрипт, запускающий WebSocket-сессию с сервером злоумышленников
  • Добавление Google Tag Manager (GTM) напрямую в базу WordPress (wp_options и wp_posts), чтобы через удалённый JavaScript перекидывать посетителей на более чем 200 спам-ресурсов
  • Взлом wp-settings.php на WordPress: через вредоносный PHP-скрипт из ZIP-файла сайт связывается с управляющим сервером, чтобы прокачивать мошеннические ресурсы через поисковую оптимизацию
  • Встраивание вредоносного кода в файл подвала темы WordPress (footer.php): так браузер пользователя уводит на опасные сайты
  • Распространение фальшивого WordPress-плагина, названного в честь домена-жертвы: он активируется для поисковых ботов, чтобы незаметно наполнять результаты поиска спамом в интересах мошенников
  • Распространение поддельных Gravity Forms для WordPress (с ошибочными версиями 2.9.11.1 и 2.9.12): скачавшись с "официальной" страницы, они соединяются с удалённым сервером, догружают новые вредоносные скрипты и создают аккаунт админа — полный контроль для хакера обеспечен

«Если вредонос туда попал, — предупреждают разработчики Gravity Forms, — он тут же блокирует обновления и связь с официальными сайтами, а потом скачивает дополнительные вредоносные файлы извне».

«Когда вредоносный код срабатывает, создаётся новый администратор сайта. Для злоумышленников это — открытая дверь: доступ к сайту, внедрение любых скриптов, изменение профилей других админов, кража любых данных WordPress».

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь

Также подписывайтесь на нас в:

3