Хакери заразили тисячі сайтів прихованим майнером Monero

Шкідливий код не займається крадіжкою паролів або блокуванням файлів, а лише таємно використовує частину потужності процесора для видобутку криптовалюти. Завдяки обмеженню навантаження та використання WebSocket-з'єднань, майнер практично не помітний і не викликає типових симптомів криптоджекінгу, що значно ускладнює його виявлення.

Криптоджекінг — це несанкціонований майнінг на чужих пристроях, який вперше набув широкого поширення після появи сервісу Coinhive у 2017 році. Незважаючи на закриття цього сервісу в 2019 році, активності таких шкідливих програм не зникли, а в деяких випадках навіть збільшилися. Однак сучасний підхід став тоншим: скрипти працюють з мінімальним навантаженням, щоб уникнути підозр, розповів експерт з кібербезпеки з анонімного джерела в інтерв'ю Decrypt.

Аналітики c/side детально описали процес атаки. На сайт жертви додається JavaScript-файл (наприклад, karma[.]js), який запускає майнінг. Скрипт перевіряє можливості браузера та пристрою, оптимізуючи навантаження, після чого створює фонові процеси. Далі за допомогою WebSockets або HTTPS він зв'язується із сервером управління, отримуючи завдання та надсилаючи результати хакерам.

Хоча цей шкідник не орієнтований на крадіжку криптовалютних гаманців, технічно така можливість існує. Головна загроза – це власники заражених серверів та веб-додатків, чиї ресурси використовуються для прихованого майнінгу без їхньої згоди.

Нагадаємо, що 12 червня експерти "Лабораторії Касперського" виявили нову хвилю прихованого майнінгу в Росії. Хакерське угруповання Librarian Ghouls (вона ж Rare Werewolf) зламало сотні пристроїв, задіявши їх для видобутку криптовалюти без дозволу користувачів.

Таким чином, сучасні методи криптоджекінгу еволюціонували і стали непомітнішими, що вимагає від власників сайтів та користувачів особливої уважності та використання ефективних засобів захисту від подібних загроз.