Хакери вбудували прихований майнер Monero більш ніж у 3500 сайтів

Компанія c/side виявила приховану активність шкідливих скриптів на більш ніж 3500 сайтах. Ці скрипти використовують обчислювальні ресурси користувачів без їхнього відома для видобутку Monero – криптовалюти, орієнтованої на анонімність. Шкідник мінімізує навантаження на процесор і маскує трафік через WebSocket, що робить його важким для виявлення традиційними засобами.

Аналітики уточнили, що майнери не крадуть дані і не шифрують файли, а тільки завантажують процесори для отримання прибутку. Така стратегія відома як криптоджекінг. Технологія широко поширилася у 2017 році, але після закриття сервісу Coinhive у 2019-му кількість подібних атак, за різними даними, то знижувалася, то знову зростала.

Сьогодні зловмисники роблять наголос на скритність: шкідливий код, наприклад karma[.]js, впроваджується в сайти, перевіряє пристрій жертви і запускає фоновий процес. Далі через WebSocket або HTTPS скрипт отримує завдання і відправляє результати на сервер управління. Такі атаки перетворюють зламані сайти на платформу для генерації криптовалюти.

Експерт із кібербезпеки в коментарі Decrypt наголосив, що нові схеми не спричиняють різкого падіння продуктивності, як раніше, і можуть залишатися непомітними місяцями. Це робить їх особливо небезпечними для власників сайтів і серверів.

Хоча основною метою залишається майнінг, фахівці зазначають, що скрипти можуть бути доопрацьовані для крадіжки криптовалютних ключів або даних. Найбільший ризик становлять веб-додатки та poorly secured хостинги, які не відстежують зміни в JavaScript-коді.

Раніше в червні про сплеск прихованого майнінгу повідомляла і “Лабораторія Касперського”. Тоді група Librarian Ghouls заразила сотні російських пристроїв, використовуючи схожі методи.