#CryptoScamSurge Mais de 3.500 sites da Web infectados com mineradores de Monero ocultos — Hackers ganham criptomoedas dos visitantes

Hackers infectaram mais de 3.500 sites da web com scripts ocultos para minerar tokens Monero ($XMR). Este software malicioso não rouba senhas nem bloqueia arquivos. Em vez disso, quando um usuário visita um site infectado, ele transforma seu navegador em um mecanismo de mineração de Monero, utilizando pequenas quantidades de poder computacional sem o consentimento das vítimas.

Ao limitar o uso da CPU e ocultar o tráfego dentro de streams WebSocket, os hackers conseguem evitar os sinais característicos do cryptojacking tradicional — o uso não autorizado do dispositivo de alguém para mineração de criptomoedas. Essa tática ganhou ampla atenção no final de 2017, com o surgimento do serviço Coinhive, que foi encerrado em 2019.

Anteriormente, os scripts sobrecarregavam processadores e desaceleravam dispositivos. Agora, o software malicioso permanece indetectável e minera lentamente, sem levantar suspeitas.

Estágios de Infecção:

* Injeção de Script Malicioso: Um arquivo JavaScript (por exemplo, karma[.]js) é adicionado ao código do site, iniciando o processo de mineração.

* O script verifica o suporte a WebAssembly, tipo de dispositivo e capacidades do navegador para otimizar a carga.

* Criação de Processo em Segundo Plano.

* Via WebSockets ou HTTPS, o script recebe tarefas de mineração e envia os resultados para um servidor C2 (o centro de comando dos hackers).

O domínio trustisimportant[.]fun está vinculado tanto a campanhas de cryptojacking quanto a campanhas Magecart (que envolvem a coleta de dados de cartões de crédito durante os checkouts de lojas online). Os endereços IP 89.58.14.251 e 104.21.80.1 serviram como servidores de comando e controle (C2).