Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксперт обнаружил кампанию, в рамках которой преступники внедрили майнер Coinhive в расширение prettyPhoto.
Независимый ИБ-специалист Хавьер Мертенс (Xavier Mertens) раскрыл кампанию по несанкционированному майнингу, построенную на скомпрометированных JavaScript-элементах. Эксперт обнаружил как минимум шесть случаев, когда злоумышленники встроили майнер Coinhive в легитимные мультимедийные плагины.
Первый тревожный сигнал пришел с сайта safeyourhealth[.]ru — защитная система одного из пользователей сообщила о вредоносной активности. В списке подозрительных ресурсов эта площадка отсутствовала, и Мертенс решил изучить ее подробнее.
Эксперт выяснил, что при открытии страницы CMS сайта запускает скрипт prettyPhoto. Плагин с открытым кодом позволяет встраивать в сайт изображения, видео, flash- и iframe-блоки. Когда Мертенс вчитался в его код, то обнаружил следы редактирования — неизвестные взломщики вставили зашифрованный фрагмент.
После загрузки подозрительного файла на сканер вредоносной активности VirusTotal зловредные функции в нем обнаружил только один антивирусный движок из 59. Эксперт продолжил работать над кодом и докопался до полезной нагрузки. Это оказался криптомайнер Coinhive, который используется для добычи токенов Monero.
Далее Мертенс решил найти на VirusTotal упоминания зловредной команды, которую нашел в коде скрипта. Она позволяла взломщику узнать количество процессоров на компьютере жертвы и оценить эффективность майнинга. Как оказалось, пользователи восемь раз загружали на этот сайт файлы с таким фрагментом кода.
Эксперт увидел, что эти скрипты получили оценку “6 из 59” (вредоносную активность обнаружили шесть из 59 движков). Можно предположить, что преступник дорабатывал свой продукт и проверял, насколько успешно он обходит защитные системы.
По словам Мертенса, prettyPhoto используется на множестве сайтов, однако следы криптоджекеров удалось обнаружить только на одном.
Ранее в июне ИБ-эксперты обнаружили уязвимые плагины на десятках тысяч сайтов под управлением WordPress. Бэкдоры позволяли злоумышленникам вести межсайтовый скриптинг, загружать код и менять настройки сайтов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |