С 2012 года в ЕС действует закон, согласно которому владельцы сайтов должны уведомлять своих посетителей о том, что ресурс использует cookie и получать их согласие на запись файлов cookie на устройство. С тех пор для удобства администраторов в ЕС появились бесплатные сервисы, такие как CookieScript[.]info, которые позволяют быстро интегрировать требуемое законом предупреждение на практически любой сайт.

Теперь независимый ИБ-исследователь Виллем де Грот (Willem de Groot) обнаружил, что вместе с безобидным скриптом, предупреждающим об использовании cookie, сервис распространял криптовалютного майнера.

Специалист заметил происходящее случайно, когда обратил внимание, что браузерный майнер появился на сайте Albert Heijn, крупнейшей в Голландии сети супермаркетов. Заподозрив неладное, де Грот внимательно изучил код ресурса, и проследил инфекцию до файла cookiescript.min.js, который подгружался с CookieScript[.]info.

Как оказалось, скрипт содержал майнера Crypto-Loot, который заставлял компьютеры посетителей сайтов добывать криптовалюту Monero. Майнер был обнаружен в следующих скриптах:

  • http://cookiescript.info/libs/cookiescript.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.4.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.5.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.6.min.js

Судя по всему, CookieScript скомпрометировали злоумышленники, во всяком случае, после того как операторов сервиса уведомили о проблеме, майнер вскоре исчез из кода скриптов. Впрочем, по данным издания Bleeping Computer, сайт CookieScript[.]info до сих пор показывает посетителям старую версию собственного скрипта, содержащую майнер. Также проблемы по-прежнему могут наблюдаться у администраторов сайтов, которые скачивали скрипты CookieScript и использовали их локально. Так, если сайт хостит вредоносную версию скрипта с майнером, ее придется заменить на «чистую» версию вручную.

По данным де Грота, из-за майнера в скриптах CookieScript[.]info пострадали как минимум 243 сайта.

Стоит отметить, что по данным американского ИБ-специалиста Троя Марша (Troy Mursch), майнер Crypto-Loot в настоящее время занимает третью по популярности позицию на рынке, после сервисов CoinHive и JSEcoin.

Также на этой неделе Марш опубликовал отчет, согласно которому майниновые скрипты CoinHive используют уже более 30 000 сайтов. Напомню, что ранее браузерные майнеры CoinHive были обнаружены в коде 2500 интернет-магазинов.



3 комментария

  1. Il

    15.11.2017 at 00:43

    Кто-Нибудь встречал такие сайты лично? На сколько сильно влияет на производительность?

  2. growpenny

    16.11.2017 at 11:35

    По перфомансу на норм компе волбще не заметно майнер.

    • john_

      17.11.2017 at 08:30

      В зависимости от выставленной мощности работы. Может и сильно нагрузить мощный комп. Да и «мощный комп» слишком размытое понятие.

Оставить мнение