ハッカーによるウェブサイト感染
ハッカーは、訪問者のブラウザを静かにハイジャックし、Moneroを生成するステルス型の暗号マイニングスクリプトで3,500以上のウェブサイトを感染させました。Moneroは、取引を追跡しにくくすることを目的としたプライバシー重視の暗号通貨です。このマルウェアはパスワードを盗んだり、ファイルをロックしたりすることはありません。代わりに、訪問者のブラウザをMoneroマイニングエンジンに変え、ユーザーの同意なしに少量の処理能力を吸い上げます。
キャンペーンの発見と手法
このキャンペーンは、この記事執筆時点でもまだ活動中で、サイバーセキュリティ企業c/sideの研究者によって最初に発見されました。c/sideは次のように明らかにしました:
「CPU使用率を制限し、WebSocketストリーム内でトラフィックを隠すことで、従来のクリプトジャッキングの明白な兆候を避けました。」
クリプトジャッキングの歴史と進化
クリプトジャッキングは、通常、所有者の知らないうちに誰かのデバイスを無断で使用して暗号をマイニングすることを指します。この手法は、2017年末にCoinhiveの台頭とともに主流の注目を集め、2019年に閉鎖されるまでクリプトジャッキングシーンを一時的に支配しました。同年、その普及に関する報告は矛盾しており、一部はDecryptに対し「以前のレベルには戻っていない」と述べる一方で、いくつかの脅威研究所は当時29%の増加を確認しました。
5年以上経った今、この手法は静かに復活しているようです。騒がしいCPUを圧迫するスクリプトから、ステルス性と持続性を備えた低プロファイルのマイナーに再構成されています。今日のキャンペーンは、デバイスを焼き尽くすのではなく、数千のサイトに静かに広がり、c/sideが言うように「低く留まり、ゆっくりマイニングする」新しいプレイブックに従っています。
新しい戦略とリスク
この戦略の変化は偶然ではないと、キャンペーンに詳しい情報セキュリティ研究者がDecryptに匿名で語りました。このグループは、長期的なアクセスと受動的な収入を優先するために古いインフラを再利用しているようです。研究者は次のように述べました:
「これらのグループは、過去のMagecartキャンペーンからすでに数千のハッキングされたWordPressサイトやeコマースストアを制御している可能性が高い。」
Magecartキャンペーンは、ハッカーがオンラインチェックアウトページに悪意のあるコードを注入して支払い情報を盗む攻撃です。研究者はさらに言及しました:
「マイナーを設置するのは簡単で、既存のアクセスを再利用して難読化されたJSを読み込むためにもう1つのスクリプトを追加しただけです。」
しかし、際立っているのは、キャンペーンがどれほど静かに運営されているかで、古い方法では検出が難しいと研究者は言いました。過去のクリプトジャッキングスクリプトが検出された方法の1つは、その高いCPU使用率でした。新しい波は、CPU使用率を制限し、WebSocketsを介して通信するスロットルされたWebAssemblyマイナーを使用することで、それを避けています。
WebAssemblyは、コードがブラウザ内でより速く実行されることを可能にし、WebSocketsはサーバーとの恒常的な接続を維持します。これらを組み合わせることで、暗号マイナーは注目を集めずに機能することができます。
ターゲットとリスクの評価
リスクは「暗号ユーザーを直接ターゲットにしているわけではありません。」スクリプトはウォレットを枯渇させることはありませんが、技術的にはペイロードにウォレットドレイナーを追加することも可能です。匿名の研究者は次のように語りました:
「本当のターゲットはサーバーとウェブアプリの所有者です。」
