Хакеры майнят так скрытно, что заметить их практически невозможно. А вы бы заметили?

ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение тактики, напоминающей Coinhive из 2017 года, но в обновлённой, более изощрённой форме.

В отличие от прежних майнеров, перегружающих устройства и быстро привлекающих внимание пользователей и браузеров, новая схема работает практически незаметно. Вредоносный код не вызывает резкого роста нагрузки на процессор или всплесков сетевой активности. Вместо этого он встраивается глубоко в веб-страницы и использует ресурсы браузеров посетителей с минимальным воздействием на производительность, превращая каждый компьютер в постоянный источник вычислительной мощности для добычи криптовалюты.

Анализ начался с тревожного сигнала автоматического сканера, выявившего подозрительный JavaScript-файл по адресу, содержащему маскирующие параметры и размещённому на домене yobox[.]store. При первом запуске в песочнице вредоносное ПО никак себя не выдало — не было ни внешних запросов, ни нагрузки на процессор. Однако продвинутая система поведенческого анализа, основанная на ИИ, определила, что скрипт является потенциально опасным, что послужило поводом для дальнейшего изучения.

Оказалось, что вредоносный код внедряется через отложенную загрузку <script> с base64-шифрованным содержимым. После расшифровки скрипт инициирует загрузку дополнительного кода с другого домена, trustisimportant.fun, который в свою очередь перенаправляет пользователей обратно на yobox[.]store. Весь механизм маскирует реальную цель — скрытую активацию криптомайнера.

Ключевую роль играет функция с названием EverythingIsLife, вызываемая со специально закодированными параметрами. Среди них — строка, предположительно указывающая на адрес кошелька или идентификатор пула для майнинга, режим выполнения «web» и параметр «50», ограничивающий использование процессора до 50% для минимизации риска обнаружения.

Для изучения вредоносного поведения команда активировала дополнительные параметры безопасности, позволяющие обойти ограничения браузеров, и встроила точки остановки в код. Это дало возможность проследить выполнение скрипта, который проверял поддержку WebAssembly, определял тип устройства и создавал массив «worcy» — группу фоновых Web Workers, отвечающих за майнинг. Эти воркеры работали вне основного потока и связывались с управляющим сервером через WebSocket по адресу «wss://lokilokitwo[.]de:10006».

Благодаря такой архитектуре скрипт остаётся практически незаметным. Он адаптирует свою нагрузку под возможности устройства, поддерживает постоянную связь с командным сервером и передаёт вычисленные данные без характерных признаков активности. Помимо сокрытия в потоках WebSocket, зловред использует HTTPS-запросы и тщательно подбирает параметры работы для разных браузеров и устройств.

Особую тревогу вызывает тот факт, что инфраструктура этой кампании уже использовалась в прошлом в атаках типа Magecart , направленных на кражу данных банковских карт. Это свидетельствует о том, что злоумышленники используют одни и те же домены и механизмы для различных видов атак, варьируя вредоносную нагрузку в зависимости от ситуации.

Современные меры маскировки позволяют вредоносному коду существовать на сайтах месяцами, при этом даже антивирусы и браузеры не всегда способны его выявить. Объём вовлечённых ресурсов при такой незаметности может достичь масштабов, сравнимых с пиком Coinhive, при этом почти не вызывая подозрений у пользователей или администраторов.

По мнению специалистов, для противодействия подобным угрозам необходимо более широкое внедрение строгих политик безопасности содержимого (CSP), анализ JavaScript-кода в реальном времени и мониторинг WebSocket-трафика с использованием ИИ. Новая реальность в сфере веб-безопасности требует внимания к каждому элементу клиентской стороны, поскольку скрытые атаки становятся всё более точными и долговременными.