Хакеры майнят так скрытно, что заметить их практически невозможно. А вы бы заметили?
NewsMakerEverythingIsLife превратил интернет в гигантскую ферму по добыче крипты.
ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение тактики, напоминающей Coinhive из 2017 года, но в обновлённой, более изощрённой форме.
В отличие от прежних майнеров, перегружающих устройства и быстро привлекающих внимание пользователей и браузеров, новая схема работает практически незаметно. Вредоносный код не вызывает резкого роста нагрузки на процессор или всплесков сетевой активности. Вместо этого он встраивается глубоко в веб-страницы и использует ресурсы браузеров посетителей с минимальным воздействием на производительность, превращая каждый компьютер в постоянный источник вычислительной мощности для добычи криптовалюты.
Анализ начался с тревожного сигнала автоматического сканера, выявившего подозрительный JavaScript-файл по адресу, содержащему маскирующие параметры и размещённому на домене yobox[.]store. При первом запуске в песочнице вредоносное ПО никак себя не выдало — не было ни внешних запросов, ни нагрузки на процессор. Однако продвинутая система поведенческого анализа, основанная на ИИ, определила, что скрипт является потенциально опасным, что послужило поводом для дальнейшего изучения.
Оказалось, что вредоносный код внедряется через отложенную загрузку
ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение тактики, напоминающей Coinhive из 2017 года, но в обновлённой, более изощрённой форме.
В отличие от прежних майнеров, перегружающих устройства и быстро привлекающих внимание пользователей и браузеров, новая схема работает практически незаметно. Вредоносный код не вызывает резкого роста нагрузки на процессор или всплесков сетевой активности. Вместо этого он встраивается глубоко в веб-страницы и использует ресурсы браузеров посетителей с минимальным воздействием на производительность, превращая каждый компьютер в постоянный источник вычислительной мощности для добычи криптовалюты.
Анализ начался с тревожного сигнала автоматического сканера, выявившего подозрительный JavaScript-файл по адресу, содержащему маскирующие параметры и размещённому на домене yobox[.]store. При первом запуске в песочнице вредоносное ПО никак себя не выдало — не было ни внешних запросов, ни нагрузки на процессор. Однако продвинутая система поведенческого анализа, основанная на ИИ, определила, что скрипт является потенциально опасным, что послужило поводом для дальнейшего изучения.
Оказалось, что вредоносный код внедряется через отложенную загрузку