Мошенники использовали вычислительные мощности посетителей worldwish.org для добычи Monero. По данным Trustwave, скриптовый майнер CoinIMP был внедрен на сайт некоммерческой организации Make-A-Wish посредством эксплуатации уязвимости Drupalgeddon 2 и работал там с середины октября.

Международный благотворительный фонд Make-A-Wish помогает исполнять желания тяжело больным детям. Заявку в фонд могут подать родственники, медицинские и социальные работники, друзья или сам ребенок. Корыстное нападение на подобный сайт накануне праздников возмутило экспертов.

Атака примечательна тем, что ее авторы приложили много усилий, чтобы избежать обнаружения путем статического анализа. Так, например, они обфусцировали код CoinIMP (этот JavaScript-майнер находится в свободном доступе) и почти сразу сменили имя домена, где он хостился. В ходе кампании злоумышленники также старательно меняли домены и IP-адреса прокси-сервера, используемого для установки соединений WebSocket.

Как оказалось, домен drupalupdates[.]tk, в котором они первоначально разместили CoinIMP, засветился в одной из майских кампаний, авторы которой тоже сделали ставку на эксплойт Drupalgeddon 2.

Известную под этим именем уязвимость (CVE-2018-7600) команда Drupal пропатчила еще в марте, однако на многих сайтах она так и осталась открытой. В начале июня количество сайтов, уязвимых для эксплойта Drupalgeddon 2, превышало 115 тыс.

Исследователи попытались связаться с НКО Make-A-Wish, но ответа не получили. Внедренный на сайт майнер удалили вскоре после отправки уведомления. На запрос Threatpost о комментарии пострадавшая организация также не ответила.

Эксперты предупреждают, что Drupalgeddon 2 — далеко не единственный вектор, используемый для криптоджекинга. Этот вид киберпреступлений широко распространен, и зачастую трудно определить, кто установил майнер на сайте — злоумышленник или сам владелец. Для небольших сайтов добыча криптовалюты может являться легальной статьей дохода, однако их возможности по обеспечению защиты ограничены, и компрометация в таких условиях тоже весьма вероятна.

Категории: Мошенничество, Уязвимости, Хакеры