Хакеры встроили скрытый майнер Monero более чем в 3500 сайтов

Компания c/side обнаружила скрытую активность вредоносных скриптов на более чем 3500 сайтах. Эти скрипты используют вычислительные ресурсы пользователей без их ведома для добычи Monero — криптовалюты, ориентированной на анонимность. Вредонос минимизирует нагрузку на процессор и маскирует трафик через WebSocket, что делает его трудным для обнаружения традиционными средствами.

Аналитики уточнили, что майнеры не крадут данные и не шифруют файлы, а только загружают процессоры для получения прибыли. Подобная стратегия известна как криптоджекинг. Технология широко распространилась в 2017 году, но после закрытия сервиса Coinhive в 2019-м число подобных атак, по разным данным, то снижалось, то вновь росло.

Сегодня злоумышленники делают упор на скрытность: вредоносный код, например karma[.]js, внедряется в сайты, проверяет устройство жертвы и запускает фоновый процесс. Далее через WebSocket или HTTPS скрипт получает задачи и отправляет результаты на сервер управления. Такие атаки превращают взломанные сайты в платформу для генерации криптовалюты.

Эксперт по кибербезопасности в комментарии Decrypt подчеркнул, что новые схемы не вызывают резкого падения производительности, как раньше, и могут оставаться незаметными месяцами. Это делает их особенно опасными для владельцев сайтов и серверов.

Хотя основной целью остается майнинг, специалисты отмечают, что скрипты могут быть доработаны для кражи криптовалютных ключей или данных. Наибольший риск несут веб-приложения и poorly secured хостинги, которые не отслеживают изменения в JavaScript-коде.

Ранее в июне о всплеске скрытого майнинга сообщала и «Лаборатория Касперского». Тогда группа Librarian Ghouls заразила сотни российских устройств, используя схожие методы.