#CryptoScamSurge #CryptoScamSurge

Peste 3.500 de site-uri web infectate cu mineri Monero ascunși - Hackerii câștigă criptomonede de la vizitatori

Hackerii au infectat peste 3.500 de site-uri web cu scripturi ascunse pentru mineritul token-urilor Monero ($XMR ). Acest software malițios nu fură parole sau blochează fișiere. În schimb, atunci când un utilizator vizitează un site infectat, acesta transformă browserul lor într-un motor de minerit Monero, folosind cantități mici de putere de calcul fără consimțământul victimelor.

Prin limitarea utilizării CPU-ului și ascunderea traficului în cadrul fluxurilor WebSocket, hackerii reușesc să evite semnele caracteristice ale cryptojacking-ului tradițional - utilizarea neautorizată a dispozitivului cuiva pentru mineritul criptomonedelor. Această tactică a câștigat pentru prima dată atenție pe scară largă la sfârșitul anului 2017, odată cu apariția serviciului Coinhive, care a fost închis în 2019.

Anterior, scripturile ar supraîncărca procesoarele și ar încetini dispozitivele. Acum, software-ul malițios rămâne nedetectat și minează încet, fără a stârni suspiciuni.

Etapele infecției:

* Injectarea Scriptului Malițios: Un fișier JavaScript (de exemplu, karma[.]js) este adăugat în codul site-ului, inițiind procesul de minerit.

* Scriptul verifică suportul WebAssembly, tipul de dispozitiv și capacitățile browserului pentru a optimiza încărcătura.

* Crearea Procesului de Fundal.

* Prin WebSockets sau HTTPS, scriptul primește sarcini de minerit și trimite rezultatele la un server C2 (centrul de comandă al hackerilor).

Domeniul trustisimportant[.]fun este legat atât de campaniile de cryptojacking, cât și de cele Magecart (care implică extragerea datelor de carduri de credit în timpul plăților online). Adresele IP 89.58.14.251 și 104.21.80.1 au servit ca servere de comandă și control (C2).