Бесплатно Экспресс-аудит сайта:

06.10.2020

Популярные сайты заражены скиммерами и криптомайнерами

По результатам исследования специалистов Palo Alto Networks, большое количество популярных сайтов из рейтинга топ-10 000 Alexa заражено криптовалютными майнерами и скиммерами (скриптами, похищающими данные банковских карт).

Alexa – online-сервис, оценивающий и ранжирующий сайты в зависимости от их популярности, трафика и других факторов.

По данным специалистов Palo Alto Networks, на некоторых сайтах с наибольшим трафиком была обнаружена вредоносная активность, в частности криптомайнеры и скиммеры. Проблема затрагивает следующие домены: libero[.]it (ряд итальянских сайтов, предлагающих различные сервисы, в том числе электронная почта, поисковая система, новостной портал и пр.), pojoksatu[.]id (индонезийский новостной ресурс), www[.]heureka[.]cz (крупнейшая платформа электронной коммерции в Центральной и Восточной Европе) и zoombangla[.]com (бангладешский новостной ресурс).

В свое время легитимный сервис Coinhive предоставлял JavaScript-майнеры криптовалюты, способные генерировать Monero прямиком в браузере. То есть, скрипт мог контролировать использование центрального процессора и количество созданных для майнинга потоков. Однако из-за злоупотреблений со стороны киберпреступников Coinhive был закрыт.

Как сообщается в отчете Palo Alto Networks, в настоящее время есть два сайта, до сих пор обслуживающих майнер Coinhive, - coinhive.min.js и JSEcoin. Проблема затрагивает пользователей, когда они попадают на зараженный майнером сайт. В таком случае использование их ЦП существенно возрастает.

Исследователи также выявили несколько случаев внедрения вредоносных ссылок в рекламу на популярных сайтах. В частности, на сайте libero.it по продаже подержанных автомобилей, была обнаружена реклама с ссылками, переадресовывающими пользователей на вредоносный сайт, заражающий системы пользователей скриптом JSEcoin.

Хотя скрипты JSEcoin все еще работают, киберпреступники больше не могут получать сгенерированную им криптовалюту, поскольку сервис был закрыт в апреле нынешнего года.

Online-скиммеры используются в так называемых атаках Magecart и перехватывают данные банковских карт, вводимые пользователями в браузере. Исследователи заметили, что в коде сайтов интернет-магазинов heureka.cz, продающих различные товары, есть ссылки, загружающие обфусцированные скимминговые скрипты. Это означает, что злоумышленники могут загружать на страницу скрипты, пряча их за страницами переадресации, размещенными на скомпрометированном домене.