Хакеры заразили тысячи сайтов скрытым майнером Monero

Вредоносный код не занимается кражей паролей или блокировкой файлов, а лишь тайно использует часть мощности процессора для добычи криптовалюты. Благодаря ограничению нагрузки и использованию WebSocket-соединений, майнер практически не заметен и не вызывает типичных симптомов криптоджекинга, что значительно осложняет его обнаружение.

Криптоджекинг — это несанкционированный майнинг на чужих устройствах, который впервые получил широкое распространение после появления сервиса Coinhive в 2017 году. Несмотря на закрытие этого сервиса в 2019 году, активности такого рода вредоносных программ не исчезли, а в некоторых случаях даже увеличились. Однако современный подход стал более тонким: скрипты работают с минимальной нагрузкой, чтобы избежать подозрений, рассказал эксперт по кибербезопасности из анонимного источника в интервью Decrypt.

Аналитики c/side подробно описали процесс атаки. На сайт жертвы добавляется JavaScript-файл (например, karma[.]js), запускающий майнинг. Скрипт проверяет возможности браузера и устройства, оптимизируя нагрузку, после чего создаёт фоновые процессы. Далее с помощью WebSockets или HTTPS он связывается с сервером управления, получая задания и отправляя результаты хакерам.

Хотя данный вредонос не нацелен на кражу криптовалютных кошельков, технически такая возможность существует. Главная угроза — это владельцы заражённых серверов и веб-приложений, чьи ресурсы используются для скрытого майнинга без их согласия.

Напомним, что 12 июня эксперты «Лаборатории Касперского» выявили новую волну скрытого майнинга в России. Хакерская группировка Librarian Ghouls (она же Rare Werewolf) взломала сотни устройств, задействовав их для добычи криптовалюты без разрешения пользователей.

Таким образом, современные методы криптоджекинга эволюционировали и стали более незаметными, что требует от владельцев сайтов и пользователей особой внимательности и использования эффективных средств защиты от подобных угроз.