ハッカーは3500以上のウェブサイトを隠れたMoneroマイナーで感染させました。

悪意のある者たちは、3500以上のウェブサイトを暗号通貨の隠れマイニング用スクリプトで感染させました。これはサイバーセキュリティ会社c/sideによって報告されました。

マルウェアはパスワードを盗んだりファイルをロックしたりしません。代わりに、ユーザーの同意なしに少量の計算能力を使用してMoneroをマイニングします。マイナーは疑わしいCPU負荷を避けるため、検出が難しいです。

「プロセッサの使用制限とWebSocket接続を介したトラフィックのマスキングのおかげで、このスクリプトは従来のクリプトジャッキングの典型的な兆候を回避しています」とアナリストは指摘しました。

クリプトジャッキングとは、通常は所有者の知らないうちに、他人のデバイスを不正に使用してデジタル資産をマイニングすることを指します。この戦術は2017年にCoinhiveサービスの開始とともに登場しました。2019年にはサービスが終了しました。当時、こうしたマルウェアの蔓延に関するデータは矛盾していました。ある情報源は活動が減少したと報告しましたが、他の研究所は29%の増加を記録していました。

「攻撃はより複雑になり、攻撃はより計画的になった」

5年後、クリプトジャッキングがより隠れた形で戻ってきました。以前はスクリプトがプロセッサを過負荷にし、デバイスの動作を遅くしていました。今や悪意のある者たちの主な戦略は、目立たずにゆっくりとマイニングを行い、疑念を引き起こさないことだと、匿名のサイバーセキュリティ専門家がDecryptへのコメントで述べました。

アナリストはc/sideによる攻撃の主なステージを説明しました:

• 悪意のあるスクリプトの導入 — サイトのコードに JavaScript ファイル ( 例えば、karma[.]js) が追加され、マイニングが開始される;
• WebAssemblyのサポート、デバイスタイプ、ブラウザの機能をチェックして、負荷を最適化します;
• バックグラウンドプロセスの作成;
• 管理サーバーとの接続 — WebSocketsまたはHTTPSを介してスクリプトはマイニングのタスクを受信し、結果をC2サーバーに送信します — ハッカーの指令センター。

マルウェアは暗号ウォレットの盗難を目的としていません。しかし、技術的にはハッカーがその機能を利用することも可能です。危険にさらされているのは、マイニングのプラットフォームとなるウェブサイトを持つサーバーおよびウェブアプリケーションの所有者です。

再度お知らせしますが、6月12日に「カスペルスキー研究所」の専門家がロシアにおける新たな隠れたマイニングの波について報告しました。ハッカーグループLibrarian Ghouls、別名Rare Werewolfがロシアの数百台のデバイスをハッキングしました。