С 2012 года в ЕС действует закон, согласно которому владельцы сайтов должны уведомлять своих посетителей о том, что ресурс использует cookie и получать их согласие на запись файлов cookie на устройство. С тех пор для удобства администраторов в ЕС появились бесплатные сервисы, такие как CookieScript[.]info, которые позволяют быстро интегрировать требуемое законом предупреждение на практически любой сайт.
Теперь независимый ИБ-исследователь Виллем де Грот (Willem de Groot) обнаружил, что вместе с безобидным скриптом, предупреждающим об использовании cookie, сервис распространял криптовалютного майнера.
Специалист заметил происходящее случайно, когда обратил внимание, что браузерный майнер появился на сайте Albert Heijn, крупнейшей в Голландии сети супермаркетов. Заподозрив неладное, де Грот внимательно изучил код ресурса, и проследил инфекцию до файла cookiescript.min.js, который подгружался с CookieScript[.]info.
Как оказалось, скрипт содержал майнера Crypto-Loot, который заставлял компьютеры посетителей сайтов добывать криптовалюту Monero. Майнер был обнаружен в следующих скриптах:
- http://cookiescript.info/libs/cookiescript.min.js
- https://cookiescript.cdn2.info/libs/cookieconsent.4.min.js
- https://cookiescript.cdn2.info/libs/cookieconsent.5.min.js
- https://cookiescript.cdn2.info/libs/cookieconsent.6.min.js
Судя по всему, CookieScript скомпрометировали злоумышленники, во всяком случае, после того как операторов сервиса уведомили о проблеме, майнер вскоре исчез из кода скриптов. Впрочем, по данным издания Bleeping Computer, сайт CookieScript[.]info до сих пор показывает посетителям старую версию собственного скрипта, содержащую майнер. Также проблемы по-прежнему могут наблюдаться у администраторов сайтов, которые скачивали скрипты CookieScript и использовали их локально. Так, если сайт хостит вредоносную версию скрипта с майнером, ее придется заменить на «чистую» версию вручную.
По данным де Грота, из-за майнера в скриптах CookieScript[.]info пострадали как минимум 243 сайта.
Стоит отметить, что по данным американского ИБ-специалиста Троя Марша (Troy Mursch), майнер Crypto-Loot в настоящее время занимает третью по популярности позицию на рынке, после сервисов CoinHive и JSEcoin.
Here's the number of #cryptojacking websites running a non-#Coinhive #cryptocurrency miner.
— Bad Packets Report (@bad_packets) November 13, 2017
JSEcoin: 905
Crypto-Loot: 123
AFMiner: 77
ProjectPoi (PPoi): 50
Coinhave: 43
Coinblind: 12 [not pictured]
Coinerra: 11
MineMyTraffic: 3
Papoto: 1
Source: @publicww pic.twitter.com/k9mylpUGHW
Также на этой неделе Марш опубликовал отчет, согласно которому майниновые скрипты CoinHive используют уже более 30 000 сайтов. Напомню, что ранее браузерные майнеры CoinHive были обнаружены в коде 2500 интернет-магазинов.