3500 stron internetowych przejętych w celu tajnego wydobywania kryptowalut
Nowa kampania ataków doprowadziła do naruszenia bezpieczeństwa ponad 3500 stron internetowych na całym świecie za pomocą programów do kopania kryptowalut w języku JavaScript.
Nowe-stare zagrożenia
Niedawno nastąpił powrót ataków kryptograficznych opartych na przeglądarkach. Badacze z c/side twierdzą, że znaleźli dowody na istnienie ukrytego programu do kopania kryptowalut umieszczonego w zaciemnionym kodzie JavaScript, który ocenia moc obliczeniową urządzenia i tworzy w tle procesy Web Workers, aby wykonywać zadania związane z kopaniem kryptowalut równolegle, nie wywołując żadnego alarmu.
Co ważniejsze, odkryto, że w tej aktywności wykorzystywany jest protokół WebSockets do pobierania zadań wydobywczych z serwera zewnętrznego, co pozwala na dynamiczne dostosowywanie intensywności wydobycia na podstawie możliwości urządzenia i odpowiednie ograniczanie zużycia zasobów w celu zachowania ukrycia. W rezultacie tego podejścia użytkownicy nieświadomie wydobywaliby kryptowalutę podczas przeglądania zainfekowanej strony internetowej, zamieniając swoje komputery w ukryte maszyny do generowania kryptowalut bez ich wiedzy i zgody. Dokładny sposób, w jaki strony internetowe są atakowane w celu umożliwienia wydobywania kryptowalut w przeglądarce, nie jest obecnie znany.
Dalsza analiza wykazała, że ponad 3500 stron internetowych padło ofiarą zakrojonego na szeroką skalę nielegalnego procederu wydobywania kryptowalut. Domena, na której hostowany jest program do wydobywania kryptowalut w JavaScript, była w przeszłości powiązana również ze skimmerami kart kredytowych Magecart, co wskazuje na próby ze strony atakujących mające na celu dywersyfikację wykorzystywanych zasobów i źródeł przychodów. Wykorzystanie tych samych domen do dostarczania skryptów górniczych i skryptów do ekstrakcji danych z kart kredytowych/debetowych wskazuje na zdolność sprawców zagrożeń do wykorzystywania języka JavaScript jako broni i przeprowadzania ataków skierowanych na niczego niepodejrzewających użytkowników witryny.
Źródło: The Hacker News