Киберпреступники массово атаковали сайты на Drupal для запуска скрытого майнинга

7 мая

Среди жертв вредоносного криптоджекинга оказалось много правительственных сайтов, а также ресурсов, принадлежащих университетам.

После того, как информация о двух критических уязвимостях в популярной системе управления сайтами Drupal стала общедоступной, на данную проблему в безопасности обратили внимание и киберпреступники, пишет издание anti-malware.ru. Злоумышленники начали искать способы для установки вредоносных программ на серверы. Неудивительно, что в частности их заинтересовал также майнинг за счет ресурсов посетителей сайтов.

К сожалению, киберпреступникам повезло. Две бреши — CVE-2018-7600 и CVE-2018-7602 — подвергли опасности владельцев более миллиона сайтов на движке Drupal. Если владелец уязвимого ресурса оперативно не принял меры по обновлению механизма CMS, то его сайт легко может быть взломан.

Как оказалось в итоге, многие сайты не были пропатчены. Поэтому они стали жертвами бэкдоров сразу после публикации подробностей о дырах в безопасности и PoC-кода.

Технология атаки

Как отметили на прошлой неделе эксперты, на Drupal-сайты были проведены две целенаправленные вредоносные кампании. В ходе этих атак киберпреступники добавляли в код взломанных сайтов измененную версию скрипта Coinhive, позовляющего осуществлять майнинг криптовалюты.

Суть атаки выражалась в том, что на каждый уязвимый сайт, до которого смогли добраться злоумышленники, был загружен соответствующий файл, ссылка на который была добавлена в проект управления в виде «jquery.once.js?v=1.2».

Результаты атаки

Эксперт Трой Мюрш сумел подсчитать масштабы эпидемии. Он обнаружил, что злонамеренные действия были осуществлены с загрузкой вредоносного файла были осуществлены на 100,000 доменах. Позднее, правда, Мюрш снизил их количество до 80,000 доменов, а после окончательной проверки назвал 348 сайтов, на которых выполнялась нелегальная операция по добыче цифровой валюты.

Среди жертв оказалось много правительственных сайтов, а также ресурсов, принадлежащих университетам. С полным списком затронутых сайтов можно ознакомиться в электронной таблице Google Docs, созданной Мюршем.

«Kitty» впридачу

Компания Imperva, специализирующаяся на кибербезопасности, также сообщила позднее об обнаружении другой вредоносной активности. В этом случае атаке подвергались сайты, также управляемые с помощью CMS Drupal. Эта кампания получила название «Kitty», так как киберпреступники использовали файл майнера «me0w.js».

Отмечается, что адрес кошелька Monero, используемого в кампании Kitty, аналогичен тому, который использовался в начале апреля при атаках на версию другого популярного движка для форумов — vBulletin 4.2.x.

Читайте также наш материал о том, какие действия приводят к потере криптовалюты!

 

Оставайтесь в курсе и следите за развитием событий на сайте blockchain.ru! Присоединяйтесь к обсуждениям самых интересных тем в нашем сообществе Facebook. А для того, чтобы оперативно узнавать о горячих новостях, подписывайтесь на наш телеграм-канал.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera