ИБ-специалист Трой Марш (Troy Mursch) обнаружил, что для маскировки активности майнинговых скриптов теперь применяют даже диспетчер тегов Google. Все началось с того, что Марш заметил майнера на официальном сайте телеканала Globovisión.

Специалист обнаружил, что, как и в большинстве случаев, Globovisión использует для майнинга скрипт сервиса Coin Hive, который заставляет компьютеры посетителей ресурса «копать» криптовалюту Monero. Но при этом код майнера был внедрен на сайт посредством Google Tag Manager, а именно скрипта  gtm.js?id=GTM-KCDXG2D, который маскировал Web Assembly вариацию Coin Hive.

Диспетчер тегов Google позволяет маркетологам и администраторам быстро создавать и обновлять так называемые «теги» для сайтов или мобильных приложений. В сущности, теги динамически внедряют на целевую страницу, без вмешательства в код, JavaScript-сниппеты, которые зачастую весьма удобны.

Марш объясняет, что в ситуации с майнером его код поставляет посредством Google Tag Manager, то есть он не представлен на самом сервере, чем уже пользуются злоумышленники и администраторы сайтов, практикующие браузерный майнинг (он же криптоджекинг). Диспетчер тегов помогает скрыть майнинговый скрипт от защитных механизмов и блокировщиков.

Хотя вредоносный код исчез с Globovisión спустя пару часов после того, как его заметил Марш, эксперт обеспокоен тем, что злоумышленники могут начать эксплуатировать данный метод внедрения майнеров более массово. Судя по всему, Google не обнаруживает внедрение скриптов Coin Hive в диспетчер тегов, или не рассматривает криптоджекинг как вредоносную активность.

Фото: Depositphotos

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии