Криптоджекинг возвращается: вредоносное ПО для майнинга Monero поразило более 3500 сайтов

Хакеры заразили более 3500 веб-сайтов скрытыми скриптами для криптомайнинга

Хакеры заразили более 3500 веб-сайтов скрытыми скриптами для криптомайнинга, которые незаметно перехватывают браузеры посетителей для генерации Monero, криптовалюты, ориентированной на конфиденциальность и призванной затруднить отслеживание транзакций.

Вредоносная программа не крадет пароли и не блокирует файлы. Вместо этого он незаметно превращает браузеры посетителей в майнинг-движки для добычи Monero, потребляя небольшое количество вычислительной мощности без согласия пользователя.

Кампания, которая на момент написания статьи все еще активна, была впервые обнаружена исследователями из компании c/side, специализирующейся на кибербезопасности.

«Дросселируя использование процессора и скрывая трафик в потоках WebSocket, она избегала признаков традиционного криптоджекинга», - заявили в пятницу в c/side.

Что такое криптоджекинг?

Криптоджекинг, который иногда пишется одним словом, - это несанкционированное использование чьего-либо устройства для добычи криптовалюты, как правило, без ведома владельца.

Эта тактика впервые привлекла к себе внимание в конце 2017 года благодаря появлению Coinhive, ныне не существующего сервиса, который недолго доминировал на сцене криптоджекинга, прежде чем был закрыт в 2019 году.

В том же году отчеты о его распространенности стали противоречить друг другу: одни говорили Decrypt, что он не вернулся на «прежний уровень», в то время как некоторые лаборатории по исследованию угроз подтвердили рост на 29 %.

Спустя более полувека тактика, похоже, тихо возвращается: из шумных скриптов, захламляющих процессор, она превращается в малозаметные майнеры, созданные для скрытности и стойкости.

Тихая волна браузерных майнеров криптовалют распространяется по Сети, перенастраивая нг взломанных сайтов от старых атак.

Вместо того чтобы сжигать устройства, сегодняшние кампании тихо распространяются по тысячам сайтов, следуя новой стратегии, которая, по словам c/side, направлена на то, чтобы «оставаться на дне, добывать медленно».

По словам исследователя информационной безопасности, знакомого с кампанией и беседовавшего с Decrypt на условиях анонимности, такое изменение стратегии не случайно.

Группа, судя по всему, использует старую инфраструктуру, отдавая предпочтение долгосрочному доступу и пассивному доходу, сообщил Decrypt.

«Скорее всего, эти группы уже контролируют тысячи взломанных WordPress-сайтов и магазинов электронной коммерции, созданных в ходе прошлых кампаний Magecart», - сказал исследователь Decrypt.

Magecart

Кампании Magecart - это атаки, в ходе которых хакеры внедряют вредоносный код на страницы онлайн-касс для кражи платежной информации.

«Установка майнера была очень простой: они просто добавили еще один скрипт для загрузки обфусцированного JS, используя существующий доступ», - сказал исследователь.

Но, по словам исследователя, выделяется то, насколько тихо работает кампания, что затрудняет ее обнаружение с помощью старых методов.

«Одним из способов обнаружения криптоджекинг-скриптов в прошлом было их высокое использование процессора», - рассказали в Decrypt. «Новая волна позволяет избежать этого, используя майнеры на WebAssembly, которые остаются незамеченными, ограничивая использование процессора и взаимодействуя через WebSockets».

Северокорейские хакеры заманивают криптовалютных специалистов на тщательно продуманные фальшивые собеседования, чтобы украсть их данные и установить на их устройства сложное вредоносное ПО.

Новая программа удаленного доступа на основе Python троян под названием «PylangGhost», связывающий вредоносное ПО со связанным с Северной Кореей хакерским коллективом под названием «Famous Chollima», также известным как «Wagemole», сообщила в среду компания Cisco Talos, специализирующаяся на анализе угроз.

"Судя по объявленным вакансиям, ясно, что Famous Chollima широко смол...

WebAssembly позволяет быстрее выполнять код в браузере, а WebSockets поддерживает постоянное соединение с сервером. В совокупности это позволяет майнеру криптовалют работать, не привлекая внимания.

Риск не «направлен непосредственно на пользователей криптовалют, поскольку скрипт не опустошает кошельки, хотя технически они могли бы добавить в полезную нагрузку средство для опустошения кошелька», - сказал анонимный исследователь Decrypt. «Настоящей целью являются владельцы серверов и веб-приложений», - добавили они.

Краткое содержание

• По меньшей мере на 3500 веб-сайтах запущен скрытый скрипт для майнинга Monero, доставленный через цепочку вредоносных инъекций.
• Злоумышленники использовали доступ из прошлых кампаний, нацеливаясь на непропатченные сайты и серверы электронной коммерции.
• Вредоносная программа ведет себя скрытно, ограничивая использование ресурсов, чтобы не вызвать подозрений или сканирования системы безопасности.