SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Криптомайнер в BrowseAloud заразил правительственные сайты

13 февраля 2018 г., вторник, 04:24

Код, внедренный в популярный плагин, использовал мощности посетителей более 4000 сайтов для майнинга Monero.

В воскресенье, 11 февраля, консультант в сфере информационной безопасности Скотт Хелм (Scott Helme) обнаружил на британском правительственном сайте ico.org.uk скрипт Coinhive, использующийся для браузерного майнинга криптовалюты Monero.

Дальнейшее исследование показало, что вредоносный код запускается с государственных порталов разных стран, в частности с uscourts.gov, gmc-uk.gov, nhsinform.scot, manchester.gov.uk и многих других, — 4275 сайтов в общей сложности.

Проанализировав зараженные сайты, Хелм выяснил, что все они использовали популярный плагин для преобразования текста в речь BrowseAloud, разработанный компанией Texthelp. В тексте скрипта обнаружился обфусцированный код, через который криптомайнер попадал на порталы пользователей продукта.

Coinhive запускается при открытии зараженной веб-страницы и майнит Monero в пользу мошенников, используя 40% мощности центрального процессора компьютера пользователя.

После того как Texthelp информировали о скомпрометированном плагине, компания отключила BrowseAloud. Представители разработчика сообщили, что в результате заражения не произошло утечки данных — вредоносный скрипт только использовал CPU посетителей сайтов в течение четырех часов. Другие сервисы Texthelp также не были затронуты.

По словам Хелма, есть два простых механизма защиты сайтов от подобных атак: целостность подресурсов SRI и политика защиты контента CSP. Первый позволяет присвоить хэш-функцию конкретному скрипту. Измененный файл не пройдет проверку хэша в браузере и не запустится.

Второй механизм устанавливает правила загрузки скриптов. В частности, с его помощью можно блокировать любой контент, которому не присвоен SRI-хэш. В текущей версии целостности подресурсов используются только криптографические функции, благодаря чему обойти эту защиту практически невозможно.

Изначально майнер Coinhive продвигался в качестве заменителя рекламы: пока пользователь находится на портале, его обладатель получает прибыль в криптовалюте. Однако злоумышленники быстро поняли, что с его помощью можно зарабатывать в куда большем масштабе.

В октябре 2017-го Coinhive распространялся через вредоносное расширение для Chrome под названием Ldi. В конце ноября почти полторы тысячи сайтов оказались заражены вредоносным скриптом. Разносчиком, как и в нынешней истории, стал плагин от стороннего разработчика — WordPress-виджет LiveHelpNow. Также были зафиксированы случаи распространения Coinhive под видом Google Analytics, Google Tags и файлов JQuery.

В конце января появились сообщения о JavaScript-майнере для Firefox. Зловред, как и Ldi, маскировался под расширение для браузера.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.137
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.