Дослідники з кібербезпеки виявили масштабну кампанію, яка вразила тисячі вебсайтів по всьому світу. Понад 3500 сайтів, включно з популярними платформами на WordPress та інтернет-магазинами, стали жертвами прихованого майнінгу криптовалюти Monero. Зловмисники використовують ці сайти, щоб таємно видобувати криптовалюту, забираючи обчислювальні ресурси у відвідувачів і власників серверів.

Одну з наймасштабніших кібератак на вебінфраструктуру останніх років виявили дослідники з компанії c/side, пише видання ForkLog.

Зловмисники скористались наявним доступом до сайтів, які раніше використовувались для фішингу та крадіжки платіжних даних. Цього разу вони просто додали ще один скрипт до вже наявного коду.

«Імплантація майнера була тривіальною задачею. Вони додали скрипт, який завантажує інший, вже скомпільований у WebAssembly», — пояснили у c/side.

Як працює прихований майнінг Monero на заражених сайтах

На перший погляд, усе виглядає абсолютно безпечно — користувач заходить на сайт і навіть не підозрює, що його комп’ютер уже почав видобувати Monero. Цей тип атаки отримав назву cryptojacking — використання обчислювальних ресурсів без згоди користувача.

Скрипт працює у фоновому режимі в браузері та використовує технологію WebAssembly. Вона забезпечує продуктивність, близьку до нативного коду, і тому майнінг стає ефективним навіть без помітного навантаження на систему. Передача даних відбувається через WebSocket, що дозволяє приховати активність у загальному браузерному трафіку.

«Скрипти адаптовані так, щоб уникати сплесків CPU. Навіть антивіруси часто не виявляють їх», — додали в c/side.

Чим загрожує власникам сайтів прихований майнінг

Попри те, що криптоскрипти не крадуть дані напряму, власники сайтів опиняються під ударом. По-перше, вони ризикують втратити довіру відвідувачів, якщо ті помітять підозрілу активність або надмірне навантаження на пристрій.

По-друге, заражений сайт може потрапити до чорного списку пошукових систем, що призведе до зниження трафіку та доходу.

Інша серйозна загроза — можливе використання таких сайтів як каналу для подальших атак, наприклад, поширення шкідливого ПЗ або фішингових сторінок.

Чому саме Monero використовують хакери

Monero (XMR) — одна з найанонімніших криптовалют у світі. Її головна особливість — повна непрозорість транзакцій. На відміну від Bitcoin, де можна прослідкувати переміщення монет між адресами, Monero приховує як адресу відправника й отримувача, так і суму переказу.

Це робить її привабливою для зловмисників, адже неможливо відстежити, куди саме потрапляють видобуті кошти. Саме тому її часто обирають для криптоджекінгу, даркнет-операцій та ухилення від моніторингу.

Чому зараження сайтів залишилось непоміченим

Один із найнебезпечніших аспектів цієї кампанії — практично повна невидимість. Зловмисники використовували помірне навантаження на процесори, а також не залишали слідів у системних логах.

Професійно замаскований код виглядав як частина звичайного JS-фреймворку, а його завантаження відбувалось із вже легітимного домену.

«Скрипти були адаптовані для роботи з мінімальною потужністю. Це дозволяло їм залишатись в тіні навіть місяцями», — зазначають у c/side. 

У багатьох випадках власники сайтів навіть не знали про зараження, поки аналітики c/side не провели глибокий аналіз і не виявили спільні сигнатури скриптів на тисячах доменів.

Як захиститися від прихованого майнінгу на сайтах

Для користувачів основна порада — використовувати браузери з блокуванням скриптів і встановлювати розширення на кшталт NoCoin або uBlock Origin. Також варто оновлювати системи безпеки й антивіруси, які вже починають включати захист від WebAssembly-майнерів.

Власникам сайтів рекомендується:

• регулярно перевіряти цілісність коду сторінок;
• використовувати сканери на сторонні скрипти;
• оновлювати CMS та плагіни;
• обмежувати доступ до адміністративних панелей;
• підключити Content Security Policy (CSP) для обмеження завантаження сторонніх скриптів.

Що означає ця кампанія для кібербезпеки в майбутньому

Зараз очевидно, що зловмисники переходять до менш помітних, але масштабніших способів заробітку. І якщо вчора метою були банківські дані, то сьогодні — обчислювальні ресурси користувачів. Це новий етап, де прибуток здобувається не за рахунок крадіжок, а через довготривале паразитування на чужих системах.

«Ця кампанія показала, що хакери стають дедалі обережнішими і розумнішими. Нам потрібен інший рівень захисту, з фокусом не лише на втручання, а й на приховану активність», — вважають аналітики c/side.

Источник: novyny.live