EN
 

آلوده‌سازی ۳۵۰۰ وب‌سایت برای استخراج رمزارز از طریق جاوااسکریپت

  1. سرتفا»
  2. آخرین خبرها»
  3. عمومی
۳۰ تیر ۱۴۰۴

پژوهشگران امنیتی از شناسایی کارزاری گسترده خبر داده‌اند که بیش از ۳۵۰۰ وب‌سایت در سراسر جهان را آلوده کرده و از توان محاسباتی بازدیدکنندگان آن‌ها برای استخراج رمزارز سوءاستفاده می‌کند.

در این حمله، کدهای جاوااسکریپت به‌صورت مبهم‌سازی‌شده در سایت‌ها تزریق شده و با استفاده از Web Workers در پس‌زمینه دستگاه کاربران، عملیات استخراج را انجام می‌دهد. این اسکریپت‌ها با استفاده از WebSocket به سرور خارجی متصل شده و بر اساس توان پردازشی دستگاه، شدت استخراج را تنظیم می‌کند تا فعالیت مخرب به‌صورت پنهانی و بدون جلب توجه ادامه یابد.

به گفته پژوهشگر امنیتی، هیمانشو آناند، این بدافزار برای گریز از شناسایی طراحی شده و به‌گونه‌ای عمل می‌کند که در زیر رادار کاربران و ابزارهای امنیتی باقی بماند.

وب‌سایت‌های آلوده، ناخواسته سیستم کاربران را به ماشین‌های استخراج رمزارز تبدیل کرده‌اند. در حال حاضر، نحوه دقیق نفوذ به این سایت‌ها مشخص نشده اما بررسی‌ها نشان می‌دهد دامنه‌ای که میزبان کدهای مخرب است، پیش‌تر در کارزارهای سرقت اطلاعات کارت اعتباری (Magecart) نیز استفاده شده است. این همپوشانی حاکی از آن است که مهاجمان در حال گسترش روش‌های درآمدزایی از طریق تزریق اسکریپت‌های مختلف هستند.

تحلیل‌ها نشان می‌دهد که مهاجمان با ترکیب جاوااسکریپت، WebSocket و استفاده دوباره از زیرساخت‌های پیشین، برخلاف گذشته به‌دنبال استخراج پرحجم و آشکار منابع نیستند، بلکه ترجیح می‌دهند با روشی کم‌صدا و ماندگار، به‌تدریج منابع را مصرف کنند.

این حملات هم‌زمان با موجی از سوءاستفاده‌های جدید از آسیب‌پذیری‌های سمت‌کاربر و سایت‌محور، به‌ویژه در وردپرس صورت می‌گیرد. از جمله روش‌های جدید می‌توان به موارد زیر اشاره کرد:

  • بهره‌برداری از پارامترهای OAuth گوگل برای بارگذاری کد مخرب از طریق WebSocket
  • تزریق مستقیم اسکریپت مخرب به پایگاه‌داده وردپرس از طریق Google Tag Manager
  • آلوده‌سازی فایل‌های هسته مانند wp-settings.php برای برقراری ارتباط با سرورهای فرمان و کنترل
  • استفاده از پلاگین جعلی برای نمایش محتوای اسپم به خزنده‌های موتور جست‌وجو
  • حمله زنجیره تامین از طریق نسخه‌های مخرب افزونه Gravity Forms که منجر به ایجاد حساب مدیر و بارگذاری بدافزارهای ثانویه می‌شود.

کارشناسان هشدار می‌دهند این حملات ترکیبی، نه‌تنها امنیت سایت‌ها را تهدید می‌کند بلکه بازدیدکنندگان بی‌خبر را نیز قربانی سوءاستفاده‌های گسترده مالی و اطلاعاتی می‌سازد.

توضیحات بیشتر:

3,500 Websites Hijacked to Secretly Mine Crypto Using Stealth JavaScript and WebSocket Tactics

آلودگی

به اشتراک بگذارید

بازگشت به بالا

وصله اضطراری مایکروسافت برای آسیب‌پذیری بحرانی در شیرپوینت