Криптоджекинг наносит удар по рынкам: вредоносная программа для майнинга Monero атаковала более 3500 сайтов

Криптоджекинговые атаки возобновились, взломав более 3500 веб-сайтов и незаметно перехватив браузеры пользователей для майнинга Monero, криптовалюты, ориентированной на конфиденциальность. Кампания была раскрыта компанией по кибербезопасности c/side во вторник, почти через семь лет после закрытия сервиса Coinhive, популяризировавшего эту тактику с 2017 года.

По данным исследователей c/side, вредоносное ПО скрыто в обфусцированном коде JavaScript, который незаметно запускает майнер, когда пользователи посещают зараженный сайт. Как только посетитель попадает на скомпрометированную страницу, скрипт незаметно оценивает вычислительную мощность устройства. Затем он запускает параллельные веб-воркеры в фоновом режиме для выполнения операций майнинга без согласия пользователя.

Ограничивая использование процессора и направляя обмен данными через потоки WebSocket, майнер избегает обнаружения, скрываясь за обычным трафиком браузера. «Цель состоит в том, чтобы постепенно выкачивать ресурсы, подобно цифровому вампиру, постоянно преследующему свою цель», — пояснили аналитики c/side.

Как работает код криптоджекинга

c/side обнаружил код , внедренный на веб-сайт через сторонний JavaScript-файл, загруженный с https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. Вместо прямой майнинговой активности Monero при первоначальном запуске, он сначала проверяет, поддерживает ли браузер пользователя WebAssembly — стандарт для запуска приложений с высокими вычислительными требованиями. 

Затем код определяет, подходит ли устройство для майнинга, и запускает фоновые веб-воркеры под названием «worcy», которые незаметно выполняют задачи майнинга, не отвлекая основной поток браузера. Команды и уровни интенсивности майнинга передаются с сервера управления и контроля (C2) через соединения WebSocket. 

Ранее домен, на котором размещается JavaScript-майнер, был связан с кампаниями Magecart, печально известными кражей данных платежных карт. Это может означать, что группа, стоящая за нынешней кампанией, имеет историю киберпреступлений. 

Угроза распространяется через уязвимости веб-сайтов

В последние недели специалисты по кибербезопасности обнаружили несколько атак на стороне клиента на веб-сайты, работающие на WordPress. Исследователи выявили методы заражения, которые внедряют вредоносный код JavaScript или PHP в сайты WordPress.

Злоумышленники начали использовать систему OAuth от Google, внедряя JavaScript в параметры обратного вызова, привязанные к URL-адресам, таким как «accounts.google.com/o/oauth2/revoke». Перенаправление направляет браузеры через замаскированную JavaScript-полезную нагрузку, которая устанавливает соединение WebSocket с сервером злоумышленника.

Другой метод предполагает внедрение скриптов через Google Tag Manager (GTM), которые затем напрямую встраиваются в таблицы базы данных WordPress, такие как wp_options и wp_posts. Этот скрипт незаметно перенаправляет пользователей на более чем 200 спам-доменов. 

Другие подходы включают в себя внесение изменений в файл wp-settings.php WordPress для загрузки вредоносных программ из ZIP-архивов, размещенных на удаленных серверах. После активации эти скрипты влияют на SEO-рейтинг сайта и добавляют контент для повышения видимости мошеннических сайтов.

В одном случае код был внедрен в PHP-скрипт нижнего колонтитула темы, в результате чего браузер перенаправлял пользователя на вредоносные веб-сайты. В другом случае использовался поддельный плагин WordPress, названный в честь зараженного домена, который определял, когда поисковые роботы посещают страницу. Затем он рассылал спам-контент для манипулирования рейтингом в поисковых системах, оставаясь при этом скрытым от обычных посетителей.

C/side упомянули, как версии плагина Gravity Forms 2.9.11.1 и 2.9.12 были взломаны и распространены через официальный сайт плагина в рамках атаки на цепочку поставок. Взломанные версии обращаются к внешнему серверу для получения дополнительных вредоносных программ и пытаются создать административную учетную запись на сайте.

Осенью 2024 года Агентство США по международному развитию (USAID) стало жертвой криптоджекинга после того, как Microsoft уведомила агентство о взломе учетной записи администратора в тестовой среде. Злоумышленники использовали атаку методом подбора паролей для доступа к системе, а затем создали вторую учетную запись для майнинга криптовалюты через облачную инфраструктуру Azure USAID.