На фоне криптовалютного бума преступники придумывают всё новые способы, чтобы завладеть чужими цифровыми активами. Один из них — использование так называемых веб-инъекций для перехвата и изменения трафика между браузером пользователя и криптовалютным веб-ресурсом.
Независимая исследовательская компания SecurityScorecard заявила, что веб-инъекции угрожают пользователям сервиса Coinbase и веб-кошелька Blockchain.
Веб-инъекция — это, как правило, внедрённый в веб-страницу кусок кода с вредоносным содержанием. Веб-инъекции могут использоваться для добавления или удаления контента на странице, которую видит жертва. Например, она может добавлять поля на экране входа в систему с целью захвата пароля. Веб-инъекции используются для кражи учётных данных или для доступа к банковским счетам, но в последнее время их стали активно применять и для кражи криптовалют.
По словам Доины Косован, специалиста по вредоносным программам в SecurityScorecard, владельцы ботнетов покупают веб-инъекции для Coinbase и Blockchain.info и распространяют их среди заражённых компьютеров. Эти веб-инъекции могут использоваться различными типами вредоносных программ. Косован говорит:
Мы заметили, что это, в частности, Zeus и Ramnit, но это просто примеры, которые нам встретились. Любой владелец ботнета с вредоносным программным обеспечением, способным добавлять код на сайты, может купить и использовать эти инъекции.
Веб-инъекция для Coinbase, обнаруженная SecurityScorecard, предназначена для изменения настроек учётной записи жертвы, чтобы включить передачу цифровых монет без необходимости подтверждения со стороны пользователя. Когда пользователь пытается войти в свою учётную запись Coinbase, добавленный злоумышленниками JavaScript сначала отключает на клавиатуре кнопку «Enter» для полей электронной почты и пароля, чтобы пользователю пришлось нажать кнопку «Отправить» на сайте.
Он также создаёт кнопку, которая имеет те же атрибуты, что и оригинальная. Она вставляется поверх оригинальной кнопки входа, чтобы жертва нажала на неё. Конечная цель — захват мультифакторной аутентификационной информации. Впоследствии она будет использована для изменения настроек учётной записи, чтобы дальнейшие транзакции могли выполняться без одобрения пользователя. Косован говорит:
Как только это изменение будет сделано, внедрённая программа может начать совершать транзакции без необходимости их подтверждения через двухфакторную аутентификацию. Более того, пользовательский доступ к настройкам блокируется, поэтому уже нельзя включить двухфакторную аутентификацию для транзакций.
Веб-инъекции на Blockchain.info работают похожим образом и предназначены для кражи средств из кошелька. Помимо прочего веб-инъекция показывает уведомление «Service Unavailable», не давая пользователю обнаружить кражу.
Также исследователи Trend Micro обнаружили, что хакеры использовали выявленную ещё пять лет назад уязвимость серверов Linux для скрытого майнинга криптовалют.
Для криптоджекинга использовалась CVE-2013-2618 — давняя уязвимость в подключаемом модуле Network Weathermap Cacti, инструмента с открытым исходным кодом, который сетевые администраторы применяют для визуализации активности сети. Атакующие могут использовать эту уязвимость, чтобы вставлять HTML и JavaScript в заголовок карт в сетевом редакторе, а также загружать вредоносный PHP-код на сервер.
Уязвимость была раскрыта в апреле 2013 года, и способ справиться с ней существует уже почти пять лет, но злоумышленники все ещё используют её для майнинга в 2018-м. В группе риска — общедоступные x86-64 веб-серверы Linux по всему миру, но наибольшее число пострадавших отмечено в Японии, Китае, США и на Тайване.
Злоумышленники используют этот эксплойт, чтобы запросить просмотр кода на сервере с уязвимостью, которая позволяет им изменять код для установки майнера, перезапускающегося каждые три минуты.
Сам майнер — это модифицированный легальный инструмент XMRig с открытым исходным кодом Monero. Проанализировав некоторые криптовалютные кошельки, исследователи обнаружили, что одному из злоумышленников удалось добыть 320 Monero (их стоимость — чуть меньше $68 000). Они отмечают, что это лишь небольшая часть того, что было намайнено за всю кампанию: по предварительным оценкам, хакеры могли заработать порядка $3 млн.