Хакеры заразили более 3500 сайтов скрытым криптомайнером, который запускается прямо в браузере посетителя и добывает Monero (XMR) без его ведома. По данным аналитиков, вредоносный скрипт не крадет данные и не блокирует доступ к устройству, а просто тихо забирает часть вычислительных мощностей в пользу атакующих.
Меньше шума, больше времени
Исследователи из компании c/side обнаружили активную кампанию криптоджекинга, в которой злоумышленники максимально замаскировали работу скриптов. Вместо резкой загрузки процессора, как это было при предыдущих атаках, вредонос работает с ограничением потребления CPU, используя технологии WebAssembly и WebSocket. Это делает активность практически незаметной для пользователя и антивирусов.
В отчете c/side говорится, что код маскирует сетевой трафик, а постоянное соединение с сервером позволяет непрерывно добывать XMR, один из вид приватных монет. Такой подход позволяет злоумышленникам оставаться незамеченными неделями и месяцами.
Повторное использование старой инфраструктуры
По данным исследователя информационной безопасности, знакомого с ходом атаки, злоумышленники используют уже взломанные сайты на WordPress и старые инфраструктуры от предыдущих Magecart-кампаний. В этих атаках хакеры внедряли вредоносный код в страницы оплаты, чтобы красть платежные данные. Сейчас они используют тот же доступ, просто добавляя еще один JavaScript-файл.
«Установка скрипта заняла минимум усилий – они просто подключили дополнительный код к уже скомпрометированным сайтам», - объяснил исследователь.
По его словам, текущая волна криптоджекинга отличается от прежних именно своей скрытностью: нет резких скачков нагрузки, которые обычно выдавали вредонос.
Хотя текущий скрипт не взаимодействует с криптокошельками пользователей и не похищает средства, исследователи предупреждают: теоретически, подобный код можно дополнить вредоносной нагрузкой, например дренажом кошельков. Сейчас же основной целью атаки являются владельцы сайтов и веб-приложений, которые могут не заметить проблему месяцами.
Кража $330 млн в BTC и конвертация в Monero
В апреле блокчейн-аналитик ZachXBT раскрыл возможную связь роста XMR (+40% за сутки) и кражей $330 млн в BTC. По его словам, в это время усилилась активность трейдеров, которая совпала с хищением средств. В результате атаке пользователь потерял около 3.520 BTC.
«Сразу после перевода средства начали дробить и выводить через более чем шесть бирж. Далее они были конвертированы в XMR, что, возможно, сделано для сокрытия следов», - сказал он.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.