В последние годы криптовалюты и технологии майнинга приковывают внимание не только легальных пользователей, но и злоумышленников, которые развивают сложные методы атаки для извлечения выгоды за счёт ресурсов обычных пользователей. Совсем недавно стало известно о масштабной кампании, в рамках которой более 3,500 сайтов по всему миру были скомпрометированы с целью скрытого запуска майнинга криптовалют прямо в браузерах посетителей. Эта кампания ознаменовала возвращение браузерного криптоджекинга, способного незаметно использовать вычислительную мощность устройств пользователей для добычи цифровых денег без их согласия и ведома. Одним из ключевых отличий нынешних атак от более ранних версий является применение высокой степени обфускации JavaScript-кода с интеграцией современных WebSocket-технологий. Такое сочетание позволяет не только скрывать вредоносные скрипты от систем обнаружения и антивирусного ПО, но и динамически управлять интенсивностью майнинга, подстраиваясь под технические возможности каждого конкретного устройства.
Так, майнер непрерывно оценивает вычислительную производительность, а затем запускает параллельные фоновые процессы (Web Workers), обеспечивающие выполнение майнинговых задач без значительного потребления ресурсов, способного вызвать подозрение у пользователя. Благодаря этому устройство действует как действенная криптомайнинговая машина, в то время как владельцы и посетители инфицированных сайтов остаются в неведении. Исследования показали, что компрометация связана с использованием серверов и доменов, уже замеченных ранее в действиях группировки Magecart, известной своими атаками на кредитные карты через внедрение скиммеров. Такая диверсификация вредоносных инструментов свидетельствует о растущей мастерстве и инфраструктурных возможностях злоумышленников, которые сочетают кражу финансовых данных и кражу вычислительных ресурсов в рамках одной и той же кампании. Новые методы проникновения в сайты включают внедрение JavaScript-кода через обфусцированные перенаправления, умышленное использование легитимных сервисов, таких как Google OAuth, для загрузки вредоносных скриптов, а также взломы CMS-систем и популярных плагинов, включая WordPress и OpenCart.
В частности, была выявлена сложная цепочка атак, когда через взломанные сайты внедряются скрипты, создающие связи с контрольными серверами злоумышленников, откуда скачиваются дополнительные модули для майнинга и других преступных действий. Среди взломанных ресурсов значительное количество относится к коммерческим площадкам, что порождает серьёзные опасения относительно сохранности персональных данных клиентов и безопасности онлайн-покупок. Техника использования WebSockets для получения и корректировки майнинговых заданий делает атаку максимально адаптивной и эффективной. Вредоносные скрипты регулируют нагрузку так, чтобы не вызывать перегрева или заметного падения производительности у устройств, что помогает избежать обнаружения со стороны пользователей и автоматических систем мониторинга. Эксперты подчёркивают, что именно такая скрытность является главной целью злоумышленников — постоянное и незаметное потребление вычислительных ресурсов.
Инфекция сайтов не ограничивается одной методикой — злоумышленники используют разнообразные подходы, в том числе модификацию PHP-файлов, создание поддельных плагинов и внедрение зловредного кода в базы данных сайтов. Особенно опасны атаки, затрагивающие популярные плагины, распространяющиеся через официальные каналы — в одном случае был зафиксирован supply chain-атака на плагин Gravity Forms, когда злоумышленники подменяли обновления и получали полный контроль над сайтом, добавляя административные учётные записи и внедряя завершённые вредоносные цепочки. Параллельно с майнингом многие атакующие продолжают развертывать операции по краже банковских данных и подмене платежных форм, что усиливает масштабы угрозы для любого посетителя заражённых сайтов. Современные методы обхода защитных мер и сложная инфраструктура атак свидетельствуют о том, что защита только на уровне периметра сайта становится недостаточной. Необходим комплексный подход к безопасности, включая мониторинг клиентской стороны, регулярные аудит кода, обновления CMS и плагинов, а также внедрение современных систем обнаружения необычной активности.
Пользователи также должны быть предупреждены о рисках браузерного майнинга и рекомендованы использовать расширения или настройки браузеров, блокирующие подозрительный JavaScript-код. Повсеместное распространение подобного рода атак поднимает важные вопросы о будущем веб-безопасности и необходимости совместных усилий разработчиков сайтов, исследователей безопасности и конечных пользователей. Сложность и стойкость атакующих операций, работающих как цифровые «вампиры», вынуждают к разработке инновационных методов быстрых и эффективных ответных мер, обеспечивающих защиту конфиденциальных данных и вычислительных ресурсов в эпоху активного роста криптовалютной экосистемы.
