#CryptoScamSurge #CryptoScamSurge

3500を超えるウェブサイトが隠しモネロマイナーに感染 - ハッカーは訪問者から暗号通貨を得る

ハッカーは3500を超えるウェブサイトを隠しスクリプトで感染させ、モネロ（$XMR）トークンをマイニングしています。この悪意のあるソフトウェアは、パスワードを盗んだりファイルをブロックしたりすることはありません。代わりに、感染したサイトを訪れたユーザーのブラウザをモネロマイニングエンジンに変換し、被害者の同意なしに少量の計算能力を使用します。

CPU使用量を制限し、WebSocketストリーム内のトラフィックを隠すことで、ハッカーは伝統的なクリプトジャッキングの特徴的な兆候—暗号通貨マイニングのために誰かのデバイスを無許可で使用すること—を回避することに成功しています。この戦術は、2017年末にCoinhiveサービスの出現とともに広く注目を集め、2019年に終了しました。

以前は、スクリプトがプロセッサを過負荷にし、デバイスを遅くしていました。現在、悪意のあるソフトウェアは検出されず、疑いを持たれないようにゆっくりとマイニングします。

感染段階:

* 悪意のあるスクリプトの挿入: JavaScriptファイル（例えば、karma[.]js）がウェブサイトのコードに追加され、マイニングプロセスが開始されます。

* スクリプトは、WebAssemblyサポート、デバイスタイプ、ブラウザの機能をチェックして、負荷を最適化します。

* バックグラウンドプロセスの作成。

* WebSocketsまたはHTTPSを介して、スクリプトはマイニングタスクを受け取り、その結果をC2サーバー（ハッカーの指令センター）に送信します。

ドメインtrustisimportant[.]funは、クリプトジャッキングおよびMagecartキャンペーン（オンラインストアのチェックアウト中にクレジットカードデータをスキミングすることを含む）に関連しています。IPアドレス89.58.14.251と104.21.80.1は、指令と制御（C2）サーバーとして機能しました。