#CryptoScamSurge #CryptoScamSurge

Über 3.500 infizierte Websites mit versteckten Monero-Minern – Hacker verdienen Kryptowährung von Besuchern

Hacker haben über 3.500 Websites mit versteckten Skripten zum Mining von Monero ($XMR) Token infiziert. Diese bösartige Software stiehlt keine Passwörter und blockiert keine Dateien. Stattdessen verwandelt sie den Browser eines Benutzers, der eine infizierte Seite besucht, in eine Monero-Mining-Engine, die kleine Mengen an Rechenleistung ohne das Einverständnis der Opfer nutzt.

Durch die Begrenzung der CPU-Nutzung und das Verbergen des Datenverkehrs innerhalb von WebSocket-Streams gelingt es Hackern, die charakteristischen Anzeichen von traditionellem Cryptojacking zu vermeiden – die unbefugte Nutzung des Geräts einer Person für das Mining von Kryptowährungen. Diese Taktik erlangte erstmals Ende 2017 mit dem Aufkommen des Coinhive-Dienstes weite Aufmerksamkeit, der 2019 eingestellt wurde.

Zuvor überlasteten Skripte Prozessoren und verlangsamten Geräte. Jetzt bleibt die bösartige Software unentdeckt und mined langsam, ohne Verdacht zu erregen.

Infektionsstufen:

* Bösartige Skriptinjektion: Eine JavaScript-Datei (z.B. karma[.]js) wird dem Code der Website hinzugefügt und initiiert den Mining-Prozess.

* Das Skript überprüft die Unterstützung von WebAssembly, den Gerätetyp und die Browserfähigkeiten, um die Last zu optimieren.

* Erstellung von Hintergrundprozessen.

* Über WebSockets oder HTTPS empfängt das Skript Mining-Aufgaben und sendet die Ergebnisse an einen C2-Server (das Kommandozentrum der Hacker).

Die Domain trustisimportant[.]fun ist sowohl mit Cryptojacking- als auch mit Magecart-Kampagnen verbunden (bei denen Kreditkartendaten während des Online-Shop-Checkouts abgegriffen werden). Die IP-Adressen 89.58.14.251 und 104.21.80.1 dienten als Kommando- und Kontroll- (C2) Server.