Эпидемия крипто-джекинга далека от завершения и, по-видимому, последней жертвой этой тревожной тенденции является веб-сайт Торговой ассоциации США-Китай (USCAC).
Исследователь безопасности Трой Мурш из отчета Bad Packets обнаружил, что веб-сайт USCAC заражен вредоносным сценарием, предназначенным для кражи вычислительной мощности посетителей, чтобы тайно майнить криптовалюту.
Вредоносный скрипт, найденный в USCAC, более известен как Coinhive. Это означает, что тот, кто прокрался в скрипт сайта, в настоящее время занимается добычей популярной анонимной криптовалюты Monero.
По соображениям безопасности, мы решили не ссылаться непосредственно на затронутый веб-сайт, поскольку Мурш предупреждает, что страница может направить пользователей на «поддельный мошеннический сайт с технической поддержкой и загрузки вредоносных программ».
Причиной заражения может быть тот факт, что сайт USCAC работает на устаревшей версии системы управления контентом Drupal (CMS). Действительно, Мурш подчеркивает, что исходный код USCAC указывает, что последний раз, когда веб-сайт получил обновление — декабрь 2011 года.
USCAC описывает себя, как «сообщество предпринимателей и профессионалов» с 300-ми западными и китайскими членами и тысячами бизнес-организаций. Его цель — «укреплять дружбу и понимание» между американскими и китайскими правительствами.
«Сайты, использующие устаревшие версии Drupal (CMS), очень уязвимы и могут быть взломаны массово», — сказал Мурш в интервью Hard Fork. «К сожалению, я нашел 115 000 сайтов Drupal, которые устарели — некоторые из них не обновлялись многие годы. До сих пор мы обнаружили сотни этих сайтов, подверженных атакам крипто-джекинга».
Действительно, это не первый веб-сайт правительства, который будет показывать вредоносное ПО для добычи криптовалюты.
Ранее в этом году Mursch раскрыл список из 400 скомпрометированных сайтов, которые также использовали устаревшие версии Drupal. Список затронутых страниц включал правительственные сайты таких стран, как США, Мексика, Турция, Перу, Южная Африка и Италия; другие известные примеры включали сайты китайского гиганта Lenovo, тайваньского производителя аппаратных средств D-Link и Калифорнийского университета в Лос-Анджелесе (UCLA).
Особенно волнует тот факт, что хорошо финансируемые институты, подобные вышеперечисленным, не смогли адекватно обновить свои веб-сайты и защитить своих пользователей от таких атак. Но Трой намекает, что Coinhive также может частично отвечать за недавнюю вспышку вредоносного ПО.
Трой рассказал Hard Fork, что он еще не сообщил об этом USCAC. Указав, что он не смог связаться с администаторами всех 115 000 сайтов, затронутых веб-сайтом. Вместо этого он сотрудничает с командой безопасности Drupal и компьютерной командой США по реагированию на чрезвычайные ситуации (CERT).
Он порекомендовал администраторам веб-сайтов, использующих платформу контента Drupal, обновиться до последней доступной версии как можно скорее.