Как взломанные виджеты помогают преступникам майнить Monero

Скрытый криптовалютный майнинг становится новым оплотом киберпреступности. Преступники взламывают серверы, персональные компьютеры, мобильные устройства и используют процессор или GPU зараженных хостов для создания виртуальных монет без согласия владельцев. Даже ботнеты, состоящие из многочисленных зомби-машин, теперь используются для крупномасштабного незаконного майнинга, а не создания спама или поражения онлайн-сервисов с помощью DDoS-атак.

Этот вредоносное направление стало толчком к появлению майнинг-скриптов в браузере, таких как Coinhive. недавние инцеденты иллюстрируют, насколько серьезной становится эта проблема, и как зараженные виджеты веб-сайтов, работают на пользу преступников.

Виджет Browsealoud поражает тысячи сайтов.

11 февраля 2018 года массивная волна криптохаккинга использовала популярный виджет под названием BrowseAloud. Злоумышленники смогли ввести скрытый майнер Монеро в более чем 4200 интернет-ресурсов, в том числе такие крупные, как британские, американские и австралийские правительственные сайты. Благодаря этому хакеры получили вычислительную мощность компьютеров посетителей для скрытого майнинга.

BrowseAloud является инструментом Texthelp Ltd., предназначенным для повышения доступности веб-сайтов для более широкой аудитории с помощью функций речевого, считывания и перевода. Добавив этот виджет на сайты, веб-мастера убеждаются, что люди с дислексией, визуальными расстройствами и плохим английским могут в полной мере использовать сайт. Кроме того, программное обеспечение помогает владельцам сайтов выполнять различные юридические обязательства, поэтому неудивительно, что он широко используется во всем мире и стал целью хакеров.

Согласно выводам аналитиков безопасности, мошенники каким-то образом сумели скомпрометировать компонент JavaScript утилиты BrowseAloud и, таким образом, внедрить запутанный код Coinhive in-browser miner на многочисленные веб-сайты, использующие этот виджет. Некоторые из известных жертв включают uscourts.gov, qld.gov.au, manchester.gov.uk, gmc-uk.gov и nhsinform.scot. Общее количество сайтов, на которых размещен вредоносный скрипт, достигло 4275.