Les attaques de cryptojacking sont de retour, compromettant plus de 3 500 sites Web et détournant silencieusement les navigateurs des utilisateurs pour exploiter Monero , une crypto-monnaie axée sur la confidentialité. La campagne a été découverte par la société de cybersécurité C / Side mardi, près de sept ans après la fermeture de Defunct Service Coinhive après avoir popularisé la tactique depuis 2017.
Selon les chercheurs de C / Side, le malware est caché dans le code JavaScript obscurci qui déploie silencieusement un mineur lorsque les utilisateurs visitent un site infecté. Une fois qu'un visiteur atterrit sur la page compromise, le script évalue tranquillement la puissance de calcul de l'appareil. Ensuite, il lance des travailleurs Web parallèles en arrière-plan pour effectuer des opérations minières, sans le consentement de l'utilisateur.
En exécutant l'utilisation du processeur et la communication de routage via des flux WebSocket, le mineur évite la détection, se cachant derrière le trafic normal du navigateur. «L'objectif est de siphonner les ressources au fil du temps, comme un vampire numérique de façon persistante», a expliqué les analystes de C / Side.
Comment fonctionne le code du cryptojacking
c / côté a trouvé un code inséré sur un site Web via un fichier javascript tiers chargé à partir de https: //www.yobox [.] Store / Karma / karma.js? karma = bs? nosaj = faster.mo. Au lieu d'extraire directement Monero lors de l'exécution initiale, il vérifie d'abord si le navigateur de l'utilisateur prend en charge WebAssembly, une norme pour exécuter des applications avec des demandes de traitement élevées.
Le code évalue ensuite si l'appareil convient à l'exploitation minière, et tourne les travailleurs du Web en arrière-plan surnommé «Worcy», qui gèrent discrètement les tâches d'extraction et laissent le fil du navigateur principal sans être perturbé. Les commandes et les niveaux d'intensité d'extraction sont insérés à partir d'un serveur de commande et de contrôle (C2) via des connexions WebSocket.
Le domaine d'hébergement du mineur Javascript a déjà été lié à des campagnes Magecart, infâmes pour avoir volé les détails de la carte de paiement. Cela pourrait signifier que le groupe derrière la campagne actuelle a une histoire dans la cybercriminalité.
La menace se propage via des exploits de site Web
Ces dernières semaines, les détectives de cybersécurité ont découvert plusieurs attaques côté client sur des sites Web fonctionnant sur WordPress. Les chercheurs ont repéré des méthodes d'infection qui incorporent un code JavaScript ou PHP malveillant dans des sites WP.
Url courte de Coinhive. Source: Malwarebytes.com
Les attaquants ont commencé à abuser du système OAuth de Google en intégrant JavaScript dans des paramètres de rappel liés aux URL tels que «AccountS.google.com/o/oauth2/revoke». La redirection emmène les navigateurs via une charge utile JavaScript enveloppe qui établit une connexion WebSocket au serveur du mauvais acteur.
Une autre méthode injecte des scripts via Google Tag Manager (GTM), qui est ensuite directement intégré dans des tables de base de données WordPress comme WP_OPTIONS et WP_POSTS. Ce script redirige silencieusement les utilisateurs vers plus de 200 domaines de spam.
D'autres approches incluent les modifications des fichiers WP-Settings.php de WordPress pour récupérer les charges utiles des archives ZIP hébergées sur des serveurs distants. Une fois activées, ces scripts infectent le classement SEO d'un site et ajoutent du contenu pour améliorer la visibilité des sites Web de l'arnaque.
Dans un cas, le code a été injecté dans le script PHP de pied de page d'un thème, ce qui a fait rediriger un utilisateur vers des sites Web malveillants. Un autre impliquait un faux plugin WordPress nommé d'après le domaine infecté qui détecte lorsque des robots de recherche de moteurs visitent la page. Il spammerait ensuite le contenu pour manipuler le classement des moteurs de recherche, toujours caché aux visiteurs humains.
C / Side a mentionné comment les versions du plugin des formulaires de gravité 2.9.11.1 et 2.9.12 ont été compromises et distribuées via le site officiel du plugin lors d'une attaque de chaîne d'approvisionnement. Les versions falsifiées contactent un serveur externe pour récupérer des charges utiles supplémentaires et tenter de créer un compte administratif sur le site .
À l'automne 2024, l'agence américaine pour le développement international (USAID) a été victime de crypto-cristo après que Microsoft ait alerté l'agence d'un compte administrateur violé dans un environnement de test. Les attaquants ont utilisé une attaque en pulvérisation de mot de passe pour accéder au système, puis ont créé un deuxième compte pour les opérations d'extraction de crypto via l'infrastructure Cloud Azure d'USAID.
Le fil de différence clé aide les marques de crypto à briser et à dominer les titres rapidement
