Более 300 сайтов, работающих на движке Drupal, оказались заражены вирусом, который манит криптовалюту Monero XMR в браузере посетителя. Майнинг происходит во время посещения зараженного ресурса, без ведома владельца компьютера. Для майнинга криптовалюты Монеро злоумышленники использовали скрипт Coinhive. Среди зараженных сайтов оказались: сайт зоопарка Сан Диего, сайт администрации Чихуахуа в Мексике, корпоративный портал Lenovo, сайт службы по трудоустройству США. Полный список зараженных сайтов находится здесь.

По состоянию на 8-е мая, кампания по заражению остановлена, так как Coinhive остановил ключ, по которому происходит идентификация для майнинга. Научный сотрудник Bad Packets Troy Mursch первым обнаружил подозрительную активность на сайте зоопарка Сан Диего. Проследив маршрут одной из библиотек Java Script (jquery.once.js?v=1.2), он обнаружил еще несколько подобных сайтов.

Скрытый майнинг Monero

Troy Mursch выяснил, что заражение сайтов координируется и управляется через домен vuuwd.com. После небольшого расследования, было обнаружено, что этот домен и один и тот же ключ Coinhive — KNqo4Celu2Z8VWMM0zfRmeJHIl75wMx6, использовались для заражения более 350 веб сайтов. На всех был установлен небольшой скрипт Coinhive, который скрыто манил криптовалюту Monero.

Специалисты Bad Packets использовали поисковый алгоритм сервиса publicwww.com, чтобы выяснить какие еще сайты содержат вредоносный код и используются для скрытого майнинга криптовалюты. Все зараженные сайты использовали одну и ту же уязвимую версию системы управления контентом (CMS) Drupal.

Криптохакинг

Криптохакинг — этот термин появился недавно и уже прочно вошел в обиход. Он означает взлом программного обеспечения и использование мощности процессоров жертв для майнинга криптовалюты. Большинство случаев скрытого майнинга используют сервис Coinhive. Этот сервис позволяет владельцам сайтов установить в код своего сайта очень маленький скрипт, который будет использовать процессор пользователя для майнинга Monero.

Предполагается, что вебмастер будет информировать об этом посетителей. Но ничто не запрещает ставить такой скрипт на любые сайты для скрытого майнинга криптовалюты. Что, в принципе, и делают крипто хакеры.

Очень сложно сказать однозначно, используется ли ваш браузер для скрытого майнинга. Можно сделать определенные выводы, анализируя график загрузки процессора во время посещения веб сайтов. Максимальная загрузка процессора в момент просмотра ресурса, может указывать на то, что ваш процессор в данный момент используется для майнинга. Чтобы заблокировать такие процессы, рекомендуется использовать расширение для браузера Chrome minerBlock.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here