Популярные сайты заражены скиммерами и криптомайнерами

Популярные сайты заражены скиммерами и криптомайнерами

По данным специалистов Palo Alto Networks, на некоторых сайтах с наибольшим трафиком была обнаружена вредоносная активность.

image

По результатам исследования специалистов Palo Alto Networks, большое количество популярных сайтов из рейтинга топ-10 000 Alexa заражено криптовалютными майнерами и скиммерами (скриптами, похищающими данные банковских карт).

Alexa – online-сервис, оценивающий и ранжирующий сайты в зависимости от их популярности, трафика и других факторов.

По данным специалистов Palo Alto Networks, на некоторых сайтах с наибольшим трафиком была обнаружена вредоносная активность, в частности криптомайнеры и скиммеры. Проблема затрагивает следующие домены: libero[.]it (ряд итальянских сайтов, предлагающих различные сервисы, в том числе электронная почта, поисковая система, новостной портал и пр.), pojoksatu[.]id (индонезийский новостной ресурс), www[.]heureka[.]cz (крупнейшая платформа электронной коммерции в Центральной и Восточной Европе) и zoombangla[.]com (бангладешский новостной ресурс).

В свое время легитимный сервис Coinhive предоставлял JavaScript-майнеры криптовалюты, способные генерировать Monero прямиком в браузере. То есть, скрипт мог контролировать использование центрального процессора и количество созданных для майнинга потоков. Однако из-за злоупотреблений со стороны киберпреступников Coinhive был закрыт.

Как сообщается в отчете Palo Alto Networks, в настоящее время есть два сайта, до сих пор обслуживающих майнер Coinhive, - coinhive.min.js и JSEcoin. Проблема затрагивает пользователей, когда они попадают на зараженный майнером сайт. В таком случае использование их ЦП существенно возрастает.

Исследователи также выявили несколько случаев внедрения вредоносных ссылок в рекламу на популярных сайтах. В частности, на сайте libero.it по продаже подержанных автомобилей, была обнаружена реклама с ссылками, переадресовывающими пользователей на вредоносный сайт, заражающий системы пользователей скриптом JSEcoin.

Хотя скрипты JSEcoin все еще работают, киберпреступники больше не могут получать сгенерированную им криптовалюту, поскольку сервис был закрыт в апреле нынешнего года.

Online-скиммеры используются в так называемых атаках Magecart и перехватывают данные банковских карт, вводимые пользователями в браузере. Исследователи заметили, что в коде сайтов интернет-магазинов heureka.cz, продающих различные товары, есть ссылки, загружающие обфусцированные скимминговые скрипты. Это означает, что злоумышленники могут загружать на страницу скрипты, пряча их за страницами переадресации, размещенными на скомпрометированном домене.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.