Криптомайнер в Browsealoud заразил правительственные сайты
В воскресенье, 11 февраля, консультант в сфере информационной безопасности Скотт Хелм (Scott Helme) обнаружил на британском правительственном сайте ico.org.uk скрипт Coinhive, использующийся для браузерного майнинга криптовалюты Monero.
Дальнейшее исследование показало, что вредоносный код запускается с государственных порталов разных стран, в частности с uscourts.gov, gmc-uk.gov, nhsinform.scot, manchester.gov.uk и многих других, — 4275 сайтов в общей сложности.
Проанализировав зараженные сайты, Хелм выяснил, что все они использовали популярный плагин для преобразования текста в речь BrowseAloud, разработанный компанией Texthelp. В тексте скрипта обнаружился обфусцированный код, через который криптомайнер попадал на порталы пользователей продукта.
Coinhive запускается при открытии зараженной веб-страницы и майнит Monero в пользу мошенников, используя 40% мощности центрального процессора компьютера пользователя.
После того как Texthelp информировали о скомпрометированном плагине, компания отключила BrowseAloud. Представители разработчика сообщили, что в результате заражения не произошло утечки данных — вредоносный скрипт только использовал CPU посетителей сайтов в течение четырех часов. Другие сервисы Texthelp также не были затронуты.
По словам Хелма, есть два простых механизма защиты сайтов от подобных атак: целостность подресурсов SRI и политика защиты контента CSP. Первый позволяет присвоить хэш-функцию конкретному скрипту. Измененный файл не пройдет проверку хэша в браузере и не запустится.
Второй механизм устанавливает правила загрузки скриптов. В частности, с его помощью можно блокировать любой контент, которому не присвоен SRI-хэш. В текущей версии целостности подресурсов используются только криптографические функции, благодаря чему обойти эту защиту практически невозможно.
Изначально майнер Coinhive продвигался в качестве заменителя рекламы: пока пользователь находится на портале, его обладатель получает прибыль в криптовалюте. Однако злоумышленники быстро поняли, что с его помощью можно зарабатывать в куда большем масштабе.
В октябре 2017-го Coinhive распространялся через вредоносное расширение для Chrome под названием Ldi. В конце ноября почти полторы тысячи сайтов оказались заражены вредоносным скриптом. Разносчиком, как и в нынешней истории, стал плагин от стороннего разработчика — WordPress-виджет LiveHelpNow. Также были зафиксированы случаи распространения Coinhive под видом Google Analytics, Google Tags и файлов JQuery.
В конце января появились сообщения о JavaScript-майнере для Firefox. Зловред, как и Ldi, маскировался под расширение для браузера.