#CryptoScamSurge #CryptoScamSurge

Plus de 3 500 sites Web infectés par des mineurs de Monero cachés — Les hackers gagnent des cryptomonnaies grâce aux visiteurs

Les hackers ont infecté plus de 3 500 sites Web avec des scripts cachés pour miner des jetons Monero ($XMR). Ce logiciel malveillant ne vole pas les mots de passe et ne bloque pas les fichiers. Au lieu de cela, lorsqu'un utilisateur visite un site infecté, il transforme son navigateur en un moteur de minage de Monero, utilisant de petites quantités de puissance de calcul sans le consentement des victimes.

En limitant l'utilisation du CPU et en dissimulant le trafic dans des flux WebSocket, les hackers parviennent à éviter les signes caractéristiques du cryptojacking traditionnel — l'utilisation non autorisée du dispositif de quelqu'un pour le minage de cryptomonnaies. Cette tactique a d'abord attiré une attention généralisée à la fin de 2017 avec l'émergence du service Coinhive, qui a été fermé en 2019.

Auparavant, les scripts surchargeaient les processeurs et ralentissaient les dispositifs. Maintenant, le logiciel malveillant reste indétecté et mine lentement, sans éveiller les soupçons.

Étapes d'infection:

* Injection de script malveillant : Un fichier JavaScript (par exemple, karma[.]js) est ajouté au code du site Web, initiant le processus de minage.

* Le script vérifie le support de WebAssembly, le type de dispositif et les capacités du navigateur pour optimiser la charge.

* Création de processus en arrière-plan.

* Via WebSockets ou HTTPS, le script reçoit des tâches de minage et envoie les résultats à un serveur C2 (le centre de commandement des hackers).

Le domaine trustisimportant[.]fun est lié à la fois au cryptojacking et aux campagnes Magecart (qui impliquent le vol de données de cartes de crédit lors des paiements en ligne). Les adresses IP 89.58.14.251 et 104.21.80.1 ont servi de serveurs de commandement et de contrôle (C2).