ИБ-специалист Трой Марш (Troy Mursch) обнаружил, что для маскировки активности майнинговых скриптов теперь применяют даже диспетчер тегов Google. Все началось с того, что Марш заметил майнера на официальном сайте телеканала Globovisión.
In the case of @globovision's #cryptojacking incident, the #Coinhive code was injected via Google Tag Manager. pic.twitter.com/F8KnozikU7
— Bad Packets Report (@bad_packets) November 21, 2017
Специалист обнаружил, что, как и в большинстве случаев, Globovisión использует для майнинга скрипт сервиса Coin Hive, который заставляет компьютеры посетителей ресурса «копать» криптовалюту Monero. Но при этом код майнера был внедрен на сайт посредством Google Tag Manager, а именно скрипта gtm.js?id=GTM-KCDXG2D, который маскировал Web Assembly вариацию Coin Hive.
Диспетчер тегов Google позволяет маркетологам и администраторам быстро создавать и обновлять так называемые «теги» для сайтов или мобильных приложений. В сущности, теги динамически внедряют на целевую страницу, без вмешательства в код, JavaScript-сниппеты, которые зачастую весьма удобны.
Марш объясняет, что в ситуации с майнером его код поставляет посредством Google Tag Manager, то есть он не представлен на самом сервере, чем уже пользуются злоумышленники и администраторы сайтов, практикующие браузерный майнинг (он же криптоджекинг). Диспетчер тегов помогает скрыть майнинговый скрипт от защитных механизмов и блокировщиков.
Хотя вредоносный код исчез с Globovisión спустя пару часов после того, как его заметил Марш, эксперт обеспокоен тем, что злоумышленники могут начать эксплуатировать данный метод внедрения майнеров более массово. Судя по всему, Google не обнаруживает внедрение скриптов Coin Hive в диспетчер тегов, или не рассматривает криптоджекинг как вредоносную активность.
Фото: Depositphotos