Криптоджекинг: скрытая кампания заразила 3500+ сайтов для майнинга Monero

Криптоджекинг: скрытая кампания заразила 3500+ сайтов для майнинга Monero

Криптоджекинг: скрытая кампания заразила 3500+ сайтов для майнинга Monero

Скрытая кампания по криптоджекингу захватила более 3500 веб-сайтов для майнинга криптовалюты Monero

Масштабная кампания криптоджекинга заразила более 3500 веб-сайтов по всему миру скрытыми скриптами для майнинга криптовалюты. Это сигнализирует о возрождении браузерных атак, которые скрытно используют вычислительные ресурсы посетителей для добычи Monero, сообщили на этой неделе специалисты по кибербезопасности.

Сложная операция, обнаруженная компанией C/side, специализирующейся на кибербезопасности, знаменует собой новый этап в развитии методов криптоджекинга. Вместо агрессивных и легко обнаруживаемых методов прошлого злоумышленники теперь отдают предпочтение скрытности и надёжности. В отличие от традиционных вредоносных программ, которые крадут пароли или захватывают файлы с целью получения выкупа, эта кампания незаметно использует лишь малую часть вычислительной мощности пользователей без их ведома или согласия.

Продвинутые методы уклонения

Отличительной чертой этой кампании от предыдущих попыток является её сложная стратегия, позволяющая оставаться незамеченной. Согласно отчёту C/side, опубликованному в пятницу, вредоносная программа намеренно остаётся незамеченной и ограничивает использование системных ресурсов, чтобы избежать подозрений или сканирования безопасности.

Злоумышленники явно извлекли уроки из ошибок предыдущих кампаний по криптоджекингу, таких как скандально известный сервис Coinhive, который достиг пика своей популярности в 2017 году, но был закрыт в 2019 году. В то время как старые майнеры часто потребляли значительную часть ресурсов процессора и быстро разряжали батареи, новое поколение следует философии «не напрягайтесь, майните медленно», как ее описывают исследователи.

Минимизируя нагрузку на процессор и скрывая сетевой трафик в потоках WebSocket, можно обойти классические признаки криптоджекинга. Вредоносное ПО скрывается в обфусцированном JavaScript-коде, который запускает майнер при каждом посещении зараженного веб-сайта. Оно использует передовые веб-технологии, включая WebAssembly и WebSocket, для обеспечения постоянного присутствия и усложнения обнаружения.

Повторное использование существующей инфраструктуры

Эксперты по безопасности, отслеживающие эту кампанию, подозревают, что злоумышленники повторно используют существующую инфраструктуру, оставшуюся от предыдущих кибератак. В частности, веб-сайты, ранее подвергавшиеся атакам Magecart, похищавших платёжные данные с сайтов электронной коммерции, по всей видимости, подверглись повторной атаке.

«У этих группировок, вероятно, всё ещё есть тысячи взломанных сайтов WordPress и интернет-магазинов благодаря предыдущим операциям Magecart», — сообщил Decrypt анонимный исследователь информационной безопасности. «Добавить майнер было легко; они просто добавили дополнительный скрипт для загрузки замаскированного JavaScript, используя существующий доступ».

По данным C/side, большинство заражённых сайтов расположено в Европе и Юго-Восточной Азии, причём заметная концентрация приходится на устаревшие интернет-магазины WooCommerce, сайты местных новостей и муниципальные порталы. Эта кампания демонстрирует, насколько уязвимыми остаются плохо поддерживаемые сайты.

Такой подход позволяет киберпреступникам монетизировать ранее взломанные веб-сайты, превращая этот неиспользуемый доступ в постоянный поток криптовалюты. Это свидетельствует о переходе к долгосрочным стратегиям вместо краткосрочных агрессивных атак.

Техническая эксплуатация

Как только пользователь посещает зараженный сайт, скрипт незаметно анализирует вычислительную мощность устройства. Затем он активирует параллельные веб-воркеры, которые запускают процесс майнинга.

Майнер использует WebAssembly для эффективного выполнения кода в браузере и подключается к серверам управления и контроля через WebSockets или зашифрованные HTTPS-запросы. Эта инфраструктура обеспечивает распределение задач майнинга и возврат результатов, не оставляя следов. Поскольку скрипт использует минимальные ресурсы процессора и пропускную способность, пользователи практически ничего не замечают — это тонкий, но эффективный способ кражи.

По оценкам C/side, кампания генерирует примерно 0,3 XMR на каждый заражённый сайт в день. Учитывая более 3500 заражённых сайтов, это эквивалентно потенциальному еженедельному доходу более 125 000 долларов США — при этом ни владелец сайта, ни посетитель не видят этого.

Monero как любимая криптовалюта

Злоумышленники намеренно выбрали для майнинга Monero (XMR) — криптовалюту, известную своей высокой степенью конфиденциальности и сложно отслеживаемыми транзакциями. Monero оптимизирован для майнинга на массовых процессорах и не требует специализированных видеокарт или ASIC-майнеров, что делает его идеальным для майнинга в браузере через взломанные веб-сайты.

Благодаря встроенной анонимности (например, кольцевым подписям и скрытым адресам) правоохранительным органам крайне сложно отслеживать транзакции Monero, что делает ее привлекательной для киберпреступников.

Влияние на пользователей и владельцев веб-сайтов

Хотя эта вредоносная программа не нацелена на кражу цифровых кошельков или персональных данных, её воздействие остаётся значительным. Для пользователей это приводит к нежелательному использованию вычислительной мощности, повышенному энергопотреблению и, со временем, к потенциально ускоренному износу оборудования. Последствия незначительны, но имеют кумулятивный характер.

Для владельцев веб-сайтов ущерб ещё серьёзнее: они рискуют потерять репутацию, столкнуться с юридической ответственностью и попасть в чёрный список поисковых систем или антивирусных компаний. Например, Google автоматически обнаруживает множество скриптов криптоджекинга, в результате чего скомпрометированные веб-сайты понижаются в рейтинге поиска или даже исчезают из результатов поиска, что ведёт к потере трафика, рекламы и доверия клиентов.

Криптоджекинг: возрождение хорошо известной угрозы

Криптоджекинг впервые привлек внимание общественности в 2017 году, когда Coinhive предложила владельцам веб-сайтов легальную альтернативу рекламе в виде добровольного майнинга криптовалют посетителями. Однако эта концепция быстро была использована злоумышленниками, которые без разрешения внедрили код для майнинга на миллионы веб-сайтов.

После закрытия Coinhive количество сообщений о криптоджекинге сократилось, но это явление так и не исчезло полностью. Текущая кампания показывает, что угроза жива и процветает, причём она более технична и коварна, чем когда-либо прежде.

В юридических кругах разгораются споры об ответственности владельцев веб-сайтов. Например, в 2023 году суд в Германии постановил, что веб-мастер продолжает нести ответственность за вредоносное ПО на своём домене, даже если оно было непреднамеренно размещено третьим лицом.

Трудно обнаружить, трудно искоренить

Современные методы, используемые в этой кампании, крайне затрудняют обнаружение вредоносного ПО традиционными средствами безопасности. Низкие требования к ресурсам, использование запутанных скриптов и использование WebAssembly и WebSockets не позволяют многим традиционным антивирусам и брандмауэрам распознать эту угрозу.

Владельцам веб-сайтов настоятельно рекомендуется поддерживать свои CMS, плагины и темы в актуальном состоянии, устанавливать мониторинг в режиме реального времени и проводить тесты на проникновение. Для обычных пользователей доступны расширения для браузера (например, NoCoin или minerBlock), блокирующие скрипты для майнинга в браузере.

Экономическая модель: цифровой вампир

Исследователи описывают этот подход как «модель цифрового вампира»: это не атака методом грубой силы, которая наносит огромный ущерб сразу, а постоянное, скрытое использование ресурсов в течение длительного периода. Поскольку заражаются тысячи веб-сайтов, а не один крупный, атака более мощная, гибкая и её сложнее полностью искоренить.

Учитывая рост стоимости криптовалют и увеличение вычислительной мощности современных устройств, эта модель остаётся экономически привлекательной для киберпреступников. Она также создаёт трудности для законодателей, которые пытаются дать правовую классификацию подобных атак.

Текущая кампания подтверждает, что криптоджекинг не исчез, а перешёл в новую фазу: более скрытную, более техничную и глубоко укоренённую в самом интернете. По мере роста мощности браузерной платформы борьба между легитимным использованием и злонамеренной эксплуатацией будет обостряться.

На момент написания статьи кампания все еще активна, и тысячи уязвимых веб-сайтов и их ничего не подозревающих посетителей продолжают становиться жертвами одной из крупнейших задокументированных операций по криптоджекингу за последнее десятилетие.

Антонио Георгопалис

Monero блокчейн защита сайтов кибербезопасность криптоджекинг майнинг хакеры

Перейти к обсуждению

Только зарегистрированные пользователи могут оставлять комментарии.