Более 3500 сайтов по всему миру стали жертвами изощренной атаки, превратив посетителей в скрытых майнеров криптовалюты. Злоумышленники внедрили в веб-страницы обфусцированный JavaScript-майнер, использующий WebSocket-технологию для связи с внешним сервером. Это знаменует возвращение браузерного криптоджекинга, напоминающего тактику печально известного CoinHive.
Атака поражает своей скрытностью. Майнер оценивает вычислительную мощность устройства и запускает фоновые Web Workers для параллельного выполнения задач. Он динамически регулирует интенсивность майнинга и ограничивает потребление ресурсов, чтобы избежать обнаружения. «Это был скрытый майнер, спроектированный так, чтобы оставаться вне поля зрения как пользователей, так и средств защиты», — пояснил специалист по безопасности Химаншу Ананд. Жертвы, сами того не зная, превращаются в «скрытые генераторы криптовалюты».
Инфраструктура атакующих связана с доменом, ранее используемым группировкой Magecart для размещения кредитных скиммеров. Это указывает на попытки злоумышленников диверсифицировать вредоносные нагрузки и источники дохода, сочетая майнинг и скимминг. Точный вектор первоначального взлома сайтов пока не установлен. Аналитики отмечают приоритет «скрытности перед грубым хищением ресурсов» с использованием «обфускации, WebSockets и повторного использования инфраструктуры». Их цель — «постоянно выкачивать ресурсы, как цифровые вампиры».
Параллельно Magecart провела целевую атаку на азиатские интернет-магазины, использующие CMS OpenCart. Злоумышленники внедрили поддельную платежную форму на этапе оформления заказа, перехватывая финансовые данные и банковские реквизиты для отправки на свои серверы.
В последние недели также зафиксированы новые векторы клиентских атак. Один из них использует Google OAuth, злоупотребляя параметром
Компрометация ядра WordPress включала модификацию файла
Особую опасность представляет инцидент с цепочкой поставок: плагин Gravity Forms версий 2.9.11.1 и 2.9.12, распространявшийся через официальную страницу загрузки, содержал бэкдор. Компания RocketGenius подтвердила, что скомпрометированные версии связываются с внешним сервером для получения дополнительных нагрузок, создают административную учетную запись для злоумышленников и блокируют обновления. Полное выполнение вредоносного кода могло привести к расширенному удаленному доступу, инъекциям произвольного кода, манипуляциям с учетными записями администраторов и хищению данных WordPress.
Изображение носит иллюстративный характер
Атака поражает своей скрытностью. Майнер оценивает вычислительную мощность устройства и запускает фоновые Web Workers для параллельного выполнения задач. Он динамически регулирует интенсивность майнинга и ограничивает потребление ресурсов, чтобы избежать обнаружения. «Это был скрытый майнер, спроектированный так, чтобы оставаться вне поля зрения как пользователей, так и средств защиты», — пояснил специалист по безопасности Химаншу Ананд. Жертвы, сами того не зная, превращаются в «скрытые генераторы криптовалюты».
Инфраструктура атакующих связана с доменом, ранее используемым группировкой Magecart для размещения кредитных скиммеров. Это указывает на попытки злоумышленников диверсифицировать вредоносные нагрузки и источники дохода, сочетая майнинг и скимминг. Точный вектор первоначального взлома сайтов пока не установлен. Аналитики отмечают приоритет «скрытности перед грубым хищением ресурсов» с использованием «обфускации, WebSockets и повторного использования инфраструктуры». Их цель — «постоянно выкачивать ресурсы, как цифровые вампиры».
Параллельно Magecart провела целевую атаку на азиатские интернет-магазины, использующие CMS OpenCart. Злоумышленники внедрили поддельную платежную форму на этапе оформления заказа, перехватывая финансовые данные и банковские реквизиты для отправки на свои серверы.
В последние недели также зафиксированы новые векторы клиентских атак. Один из них использует Google OAuth, злоупотребляя параметром
callback и легитимной конечной точкой accounts.google[.]com/o/oauth2/revoke, чтобы перенаправить жертву на обфусцированный JavaScript, создающий вредоносное WebSocket-соединение. На сайтах WordPress злоумышленники напрямую внедряли скрипт Google Tag Manager (GTM) в таблицы базы данных wp_options и wp_posts, загружая удаленный код для перенаправления трафика на спам-домены. Компрометация ядра WordPress включала модификацию файла
wp-settings.php для включения вредоносного PHP-скрипта из ZIP-архива. Скрипт подключался к C2-серверу, используя рейтинг сайта в поисковых системах для внедрения спам-контента и продвижения сомнительных ресурсов. Другие методы — инъекция кода в файл темы footer.php для редиректов и установка поддельных плагинов, активируемых только поисковыми роботами для манипуляции результатами выдачи. Особую опасность представляет инцидент с цепочкой поставок: плагин Gravity Forms версий 2.9.11.1 и 2.9.12, распространявшийся через официальную страницу загрузки, содержал бэкдор. Компания RocketGenius подтвердила, что скомпрометированные версии связываются с внешним сервером для получения дополнительных нагрузок, создают административную учетную запись для злоумышленников и блокируют обновления. Полное выполнение вредоносного кода могло привести к расширенному удаленному доступу, инъекциям произвольного кода, манипуляциям с учетными записями администраторов и хищению данных WordPress.
