Hakerzy umieścili ukrytego górnika Monero na ponad 3500 stronach internetowych

Firma c/side odkryła ukrytą aktywność złośliwych skryptów na ponad 3500 stronach internetowych. Skrypty te wykorzystują zasoby obliczeniowe użytkowników bez ich wiedzy do wydobywania Monero, anonimowej kryptowaluty. Złośliwe oprogramowanie minimalizuje obciążenie procesora i maskuje ruch za pośrednictwem WebSocket, co utrudnia wykrycie go tradycyjnymi metodami.

Analitycy wyjaśnili, że górnicy nie kradną danych ani nie szyfrują plików, a jedynie obciążają procesory dla zysku. Taka strategia znana jest jako cryptojacking. Technologia ta stała się powszechna w 2017 r., ale po zamknięciu Coinhive w 2019 r. liczba takich ataków, według różnych raportów, spadła lub ponownie wzrosła.

Obecnie atakujący kładą nacisk na ukrywanie się: złośliwy kod, taki jak karma[.]js, jest wstrzykiwany na strony internetowe, sprawdza urządzenie ofiary i uruchamia proces w tle. Następnie, za pośrednictwem WebSocket lub HTTPS, skrypt odbiera zadania i wysyła wyniki do serwera zarządzającego. Takie ataki zamieniają zaatakowane strony internetowe w platformę do generowania kryptowaluty.

Ekspert ds. cyberbezpieczeństwa podkreślił w komentarzu Decrypt, że nowe schematy nie powodują dramatycznego spadku wydajności, jak wcześniej i mogą pozostać niewykryte przez miesiące. To czyni je szczególnie niebezpiecznymi dla właścicieli stron internetowych i serwerów.

Chociaż górnictwo pozostaje głównym celem, eksperci zauważają, że skrypty mogą zostać zmodyfikowane w celu kradzieży kluczy kryptowalut lub danych. Największe ryzyko stwarzają aplikacje internetowe i słabo zabezpieczone usługi hostingowe, które nie śledzą zmian w kodzie JavaScript.

Wcześniej, w czerwcu, Kaspersky Lab również informował o wzroście ukrytego wydobycia. Grupa Librarian Ghouls zainfekowała setki rosyjskich urządzeń przy użyciu podobnych metod.