Хакеры заразили сотни сайтов с системой управления контентом (CMS) Drupal вредоносной программой, используемой для майнинга криптовалюты Monero.
Этот инцидент был раскрыт Троем Мершем (Troy Mursch), исследователем в области безопасности сайта Bad Packets Report. Он написал, что более 300 сайтов были скомпрометированы хакерами, которые установили программное обеспечение для майнинга Coinhive, которое добывает Monero, используя уязвимость в устаревшей версии CMS Drupal.
«Криптоджекинг», как называют подобные атаки, в последние месяцы стал распространенной проблемой. Ранее хакеры предпочитали вымогательство, попросту блокируя данные на компьютерах жертв и требуя выкупа в биткоинах или других криптовалютах. Однако теперь они все чаще заражают сайты скриптами, которое использует компьютеры посетителей, чтобы майнить криптовалюты в пользу злоумышленников.
Мурш отмечает, что хотя криптоджекинг не так опасен, как вымогательство, эта атака продолжает оставаться проблемой, особенно для операторов сайтов. Он объяснил:
«Coinhive и подобные программы работают на JavaScript. Каждый современный браузер и устройство может запускать JavaScript, поэтому каждый может майнить криптовалюту, и, к сожалению, Coinhive все чаще используется для скрытого майнинга. В этом конкретном случае использующим Drupal сайтам необходимо обновить систему как можно скорее».
Среди пострадавших сайтов - Зоопарк Сан-Диего, Национальный совет по трудовым отношениям США, сайты городов Мэрион и Огайо, Университет Алеппо, Ринглингский колледж искусств и дизайна и сайт правительства Чиуауа в Мексике. Полный список пострадавших сайтов можно найти здесь.
Посетители этих сайтов могут даже не заметить, что на их компьютерах осуществляется майнинг криптовалют для хакеров. Атаки замедляют работу устройств пользователей и могут вызывать преждевременный износ компьютерного оборудования.
Однако не все пользователи Coinhive используют его с подобной целью. Новостное издание Salon и организация UNICEF применяют браузерный майнинг для сбора средств на благотворительность и запускают его с разрешения посетителей сайта.