Malware de mineração do Monero atinge mais de 3.500 sites como ataques de criptografia retornam
Os ataques de Jacking Crypto-Jacking estão de volta, comprometendo mais de 3.500 sites e sequestrando silenciosamente os navegadores dos usuários para extrair Monero, uma criptomoeda focada na privacidade. A campanha foi descoberta pela empresa de segurança cibernética C/Side na terça -feira, quase sete anos após o fechamento da Coinhive de serviço extinta depois de popularizar a tática desde 2017.
De acordo com os pesquisadores da C/Side, o malware está oculto no código JavaScript ofusco que implanta silenciosamente um mineiro quando os usuários visitam um site infectado. Depois que um visitante pousa na página comprometida, o script avalia discretamente o poder de computação do dispositivo. Em seguida, lança trabalhadores paralelos da Web em segundo plano para executar operações de mineração, sem o consentimento do usuário.
Ao estrangular o uso do processador e o roteamento da comunicação através dos fluxos do WebSocket, o mineiro evita a detecção, escondendo -se atrás do tráfego normal do navegador. "O objetivo é desviar os recursos ao longo do tempo, como um vampiro digital persistentemente", explicou analistas de C/Side.
Como o código de jackacking opera
C/Side encontrou um código inserido em um site através de um arquivo JavaScript de terceiros carregado de https: //www.yobox [.] store/karma/karma.js? karma = bs? Nosaj = mais rápido.mo. Em vez de minerar diretamente o Monero na execução inicial, ele primeiro verifica se o navegador do usuário suporta WebAssembly, um padrão para executar aplicativos com altas demandas de processamento.
O código mede se o dispositivo for adequado para a mineração e gira os trabalhadores da web em segundo plano chamados de "Worcy", que lidam com as tarefas de mineração discretamente e deixam o encadeamento principal do navegador não perturbado. Os comandos e os níveis de intensidade de mineração são inseridos em um servidor de comando e controle (C2) por meio de conexões Websocket.
O domínio de hospedagem do mineiro JavaScript já foi vinculado a campanhas de Magecart, infame por roubar detalhes do cartão de pagamento. Isso pode significar que o grupo por trás da campanha atual tem uma história em crimes cibernéticos.
Ameaça se espalha através das explorações do site
Nas últimas semanas, os aditivos de segurança cibernética descobriram vários ataques do lado do cliente em sites em execução no WordPress. Os pesquisadores viram métodos de infecção que incorporaram JavaScript ou código PHP malicioso nos sites WP.
Os invasores começaram a abusar do sistema OAuth do Google incorporando JavaScript em parâmetros de retorno de chamada vinculados a URLs como "Accouts.google.com/o/oauth2/revoke". O redirecionamento leva os navegadores através de uma carga útil de JavaScript encoberta que estabelece uma conexão WebSocket com o servidor do ator ruim.
Outro método injeta scripts via Google Tag Manager (GTM), que é então diretamente incorporado às tabelas de banco de dados do WordPress, como WP_Options e WP_POSTS. Esse script redireciona silenciosamente os usuários para mais de 200 domínios de spam.
Outras abordagens incluem alterações nos arquivos wp-settings.php do WordPress para buscar cargas úteis de arquivos ZIP hospedados em servidores remotos. Uma vez ativado, esses scripts infectam as classificações de SEO de um site e adicionam conteúdo para melhorar a visibilidade dos sites de fraude.
Em um caso, o código foi injetado no rodapé do rodapé do tema, fazendo com que um navegador redirecionasse um usuário para sites maliciosos. Outro envolveu um plugin falso do WordPress com o nome do domínio infectado que detecta quando os rastreadores de mecanismos de pesquisa visitam a página. Em seguida, spam o conteúdo de manipular rankings de mecanismos de pesquisa, ainda escondido dos visitantes humanos.
C/Side mencionou como a gravidade forma as versões do plug -in 2.9.11.1 e 2.9.12 foram comprometidas e distribuídas pelo local oficial do plug -in em um ataque da cadeia de suprimentos. As versões adulteradas entram em contato com um servidor externo para buscar cargas úteis adicionais e tentar criar uma conta administrativa no site .
No outono de 2024, a Agência dos EUA para o Desenvolvimento Internacional (USAID) foi vítima de criar criptografia depois que a Microsoft alertou a agência para uma conta de administrador violada em um ambiente de teste. Os atacantes usaram um ataque de spray de senha para acessar o sistema e, em seguida, criaram uma segunda conta para operações de mineração de criptografia via infraestrutura de nuvem do Azure da USAID.
O fio de diferença -chave ajuda as marcas de criptografia a romper e dominar as manchetes rapidamente
Artigos Recomendados
