В настоящее время майниг криптовалюты набрал стремительные обороты. Предприимчивые лица вкладывают значительные ресурсы для умножения своего капитала, организовывают легальные фермы по добыче крипты, заключают сделки купли-продажи электронной валюты.
На этом фоне активизировались злоумышленники, "теневые майнеры", которые используют нелегальные способы добычи криптовалюты.
Эксплуатируя уязвимости, хакеры внедряют механизмы позволяющие незаметно добывать криптовалюту используя чужие ресурсы.
Условно такие заражения можно разделить на два типа, первый тип заражения, назовем его "серверный", действует так, вредоносный алгоритм подключает зараженный сервер к распределенной вычислительной сети, которая заставляет его выполнять вычисления для получения криптовалюты. Такой вид нелегального майнинга может вызвать высокую нагрузку на сервер, тем самым спровоцировав различные неполадки в работе сервисов, а в некоторых случаях и вовсе привести к отказу их работы. Эффективность данного метода напрямую зависти от количества взломанных серверов. Код может быть внедрен, если сам сервер недостаточно защищен и имеет какую-либо уязвимость.
Другой тип, назовем его "клиент-серверным", действует так, скрипт внедряется в файловую структуру сайта и ожидает своего запуска. Сам запуск скрипта инициализируется на удаленной машине клиента (в браузере), который обращается к инфицированному сайту. Чем больше таких обращений сайту, тем больше клиентов вовлекается в процесс добычи криптовалюты. Такая ситуация приводит к тому, что вредоносный скрипт в некоторых случаях неконтролируемо нагружает процессор пользователя вызывая тем самым нестабильную работу компьютера. Некоторые антивирусные решения (установленные на компьютере пользователя) , в базах которых имеется необходимая сигнатура, своевременно сообщают клиенту о том, что зараженный сайт небезопасен. Все эти негативные факторы могут повлиять на общий уровень доверия к сайту. В этой статье мы немного подробнее остановимся на втором типе заражения("клиент-серверном").
Относительно недавно наблюдался всплеск обращений связанный с несанкционированным внедрением кода майнера CoinHive, который распространяет одноименный веб-ресурс coin-hive.com. Скрипт CoinHive представляет собой js-код, который может предварительно обфусцироваться и внедряется в файлы сайта.Ниже переведен пример попытки заражения javascript файла:
В представленном примере код майнера был обфусцирован и помещен в один из системных файлов CMS, который в свою очередь подключался через Header страницы. Также наблюдались случаи когда код майнера вовсе не шифровался и подключение производилось напрямую.
Выглядит это так:
Сейчас найти и удалить нелегально внедренный скрипт, который распространяет CoinHive стало значительно проще, однако злоумышленники постоянно находят новые алгоритмы обфускации нежелательного кода. Также ситуация усугубляется тем, что в след за появлением сервиса coin-hive.com появляются аналогичные платформы, которыми также пользуются хакеры. Эти факторы приводят к увеличению времени идентификации вредоносного майнинг-скрипта в файловой системе или базе данных. Одним из самых свежих примеров аналогичного сервиса по типу coin-hive.com может служить Mineralt.io, скрипты которого также нелегально внедряются в файлы сайта. В настоящий момент скрипт Mineralt.io не определяется ни одним из известных антивирусных решений. Недавно нами был зафиксирован случай внедрения скрипта Mineralt.io в файлы взломанного сайта, сам код подключения скрипта при этом никак не шифровался.
Подключение скрипта инициализировалось в одну строку:
Код был внедрен при помощи "шелл" файла, который находился в корневом каталоге сайта, "шелл" в свою очередь был загружен из-за уязвимости в скриптовой части сайта. Для избежания подобных проблем мы рекомендуем внимательно подходить к вопросу безопасности сайта. Своевременно проводить плановый аудит безопасности, выполнять проверку на вирусы файловой системы и базы данных сайта, обновлять СMS, плагины, компоненты и файлы темы. В случае размещения рекламы на сайте, внимательно проверять ее содержимое, в случае обнаружения подозрительных строк необходимо отказаться от ее размещения.
В случае если у вас имеется подозрение, что на сайт был внедрен майнинг cкрипт, необходимо как можно скорее выполнить диагностику работы сайта и провести тщательную проверку файловой структуры сайта на наличие подозрительных включений. Если у вас нет времени или возможности чтобы осуществить поиск и удаление внедренного скрипта-майнера, вы всегда можете обратится к
нам за помощью
