Независимый ИБ-специалист Хавьер Мертенс (Xavier Mertens) раскрыл кампанию по несанкционированному майнингу, построенную на скомпрометированных JavaScript-элементах. Эксперт обнаружил как минимум шесть случаев, когда злоумышленники встроили майнер Coinhive в легитимные мультимедийные плагины.

Первый тревожный сигнал пришел с сайта safeyourhealth[.]ru — защитная система одного из пользователей сообщила о вредоносной активности. В списке подозрительных ресурсов эта площадка отсутствовала, и Мертенс решил изучить ее подробнее.

Эксперт выяснил, что при открытии страницы CMS сайта запускает скрипт prettyPhoto. Плагин с открытым кодом позволяет встраивать в сайт изображения, видео, flash- и iframe-блоки. Когда Мертенс вчитался в его код, то обнаружил следы редактирования — неизвестные взломщики вставили зашифрованный фрагмент.

После загрузки подозрительного файла на сканер вредоносной активности VirusTotal зловредные функции в нем обнаружил только один антивирусный движок из 59. Эксперт продолжил работать над кодом и докопался до полезной нагрузки. Это оказался криптомайнер Coinhive, который используется для добычи токенов Monero.

Далее Мертенс решил найти на VirusTotal упоминания зловредной команды, которую нашел в коде скрипта. Она позволяла взломщику узнать количество процессоров на компьютере жертвы и оценить эффективность майнинга. Как оказалось, пользователи восемь раз загружали на этот сайт файлы с таким фрагментом кода.

Эксперт увидел, что эти скрипты получили оценку «6 из 59» (вредоносную активность обнаружили шесть из 59 движков). Можно предположить, что преступник дорабатывал свой продукт и проверял, насколько успешно он обходит защитные системы.

По словам Мертенса, prettyPhoto используется на множестве сайтов, однако следы криптоджекеров удалось обнаружить только на одном.

Ранее в июне ИБ-эксперты обнаружили уязвимые плагины на десятках тысяч сайтов под управлением WordPress. Бэкдоры позволяли злоумышленникам вести межсайтовый скриптинг, загружать код и менять настройки сайтов.

Категории: Мошенничество, Хакеры