#CryptoScamSurge

Oltre 3.500 siti web infettati con minatori Monero nascosti - Gli hacker guadagnano criptovaluta dai visitatori

Gli hacker hanno infettato oltre 3.500 siti web con script nascosti per il mining di token Monero ($XMR). Questo software dannoso non ruba password né blocca file. Invece, quando un utente visita un sito infetto, trasforma il proprio browser in un motore di mining Monero, utilizzando piccole quantità di potenza di calcolo senza il consenso delle vittime.

Limitando l'uso della CPU e nascondendo il traffico all'interno di flussi WebSocket, gli hacker riescono ad evitare i segni caratteristici del tradizionale cryptojacking - l'uso non autorizzato del dispositivo di qualcuno per il mining di criptovaluta. Questa tattica ha attirato l'attenzione generale per la prima volta alla fine del 2017 con l'emergere del servizio Coinhive, che è stato chiuso nel 2019.

In precedenza, gli script sovraccaricavano i processori e rallentavano i dispositivi. Ora, il software dannoso rimane non rilevato e mina lentamente, senza suscitare sospetti.

Fasi di infezione:

* Iniezione di Script Maligni: Un file JavaScript (ad es., karma[.]js) è aggiunto al codice del sito web, avviando il processo di mining.

* Lo script controlla il supporto per WebAssembly, il tipo di dispositivo e le capacità del browser per ottimizzare il carico.

* Creazione di Processi in Background.

* Tramite WebSocket o HTTPS, lo script riceve compiti di mining e invia i risultati a un server C2 (il centro di comando degli hacker).

Il dominio trustisimportant[.]fun è collegato sia al cryptojacking che alle campagne Magecart (che coinvolgono il furto di dati delle carte di credito durante i pagamenti nei negozi online). Gli indirizzi IP 89.58.14.251 e 104.21.80.1 hanno servito come server di comando e controllo (C2).