#CryptoScamSurge Plus de 3 500 sites Web infectés par des mineurs de Monero cachés — Les hackers gagnent des cryptomonnaies grâce aux visiteurs

Les hackers ont infecté plus de 3 500 sites Web avec des scripts cachés pour miner des tokens Monero ($XMR). Ce logiciel malveillant ne vole pas de mots de passe ni ne bloque des fichiers. Au lieu de cela, lorsqu'un utilisateur visite un site infecté, il transforme son navigateur en un moteur de minage de Monero, utilisant de petites quantités de puissance de calcul sans le consentement des victimes.

En limitant l'utilisation du CPU et en dissimulant le trafic dans des flux WebSocket, les hackers parviennent à éviter les signes caractéristiques du cryptojacking traditionnel — l'utilisation non autorisée de l'appareil de quelqu'un pour le minage de cryptomonnaies. Cette tactique a d'abord attiré l'attention générale à la fin de 2017 avec l'émergence du service Coinhive, qui a été fermé en 2019.

Auparavant, les scripts surchargeaient les processeurs et ralentissaient les appareils. Maintenant, le logiciel malveillant reste indétecté et mine lentement, sans éveiller les soupçons.

Étapes d'infection :

* Injection de script malveillant : Un fichier JavaScript (par exemple, karma[.]js) est ajouté au code du site Web, initiant le processus de minage.

* Le script vérifie la prise en charge de WebAssembly, le type d'appareil et les capacités du navigateur pour optimiser la charge.

* Création de processus en arrière-plan.

* Via WebSockets ou HTTPS, le script reçoit des tâches de minage et envoie les résultats à un serveur C2 (le centre de commandement des hackers).

Le domaine trustisimportant[.]fun est lié à la fois au cryptojacking et aux campagnes Magecart (qui impliquent le vol de données de carte de crédit lors des paiements en ligne). Les adresses IP 89.58.14.251 et 104.21.80.1 ont servi de serveurs de commandement et de contrôle (C2).