Ua
Главная Инвестиции Тысячи сайтов — как хакеры тайно майнили Monero

Тысячи сайтов — как хакеры тайно майнили Monero

25 июля 2025 10:03
Криптовалюта Monero. Фото: founder.ua
Борис Жмур
Редактор

Исследователи по кибербезопасности обнаружили масштабную кампанию, которая поразила тысячи веб-сайтов по всему миру. Более 3500 сайтов, включая популярные платформы на WordPress и интернет-магазины, стали жертвами скрытого майнинга криптовалюты Monero. Злоумышленники используют эти сайты, чтобы тайно добывать криптовалюту, забирая вычислительные ресурсы у посетителей и владельцев серверов.

Одну из самых масштабных кибератак на вебинфраструктуру последних лет обнаружили исследователи из компании c/side, пишет издание ForkLog.

Злоумышленники воспользовались имеющимся доступом к сайтам, которые ранее использовались для фишинга и кражи платежных данных. На этот раз они просто добавили еще один скрипт к уже имеющемуся коду.

"Имплантация майнера была тривиальной задачей. Они добавили скрипт, который загружает другой, уже скомпилированный в WebAssembly", — пояснили в c/side.

Как работает скрытый майнинг Monero на зараженных сайтах

На первый взгляд, все выглядит абсолютно безопасно — пользователь заходит на сайт и даже не подозревает, что его компьютер уже начал добывать Monero. Этот тип атаки получил название cryptojacking — использование вычислительных ресурсов без согласия пользователя.

Скрипт работает в фоновом режиме в браузере и использует технологию WebAssembly. Она обеспечивает производительность, близкую к нативному коду, и поэтому майнинг становится эффективным даже без заметной нагрузки на систему. Передача данных происходит через WebSocket, что позволяет скрыть активность в общем браузерном трафике.

"Скрипты адаптированы так, чтобы избегать всплесков CPU. Даже антивирусы часто не обнаруживают их", — добавили в c/side.

Чем грозит владельцам сайтов скрытый майнинг

Несмотря на то, что криптоскрипты не воруют данные напрямую, владельцы сайтов оказываются под ударом. Во-первых, они рискуют потерять доверие посетителей, если те заметят подозрительную активность или чрезмерную нагрузку на устройство.

Во-вторых, зараженный сайт может попасть в черный список поисковых систем, что приведет к снижению трафика и дохода.

Другая серьезная угроза — возможное использование таких сайтов как канала для дальнейших атак, например, распространения вредоносного ПО или фишинговых страниц.

Почему именно Monero используют хакеры

Monero (XMR) — одна из самых анонимных криптовалют в мире. Ее главная особенность — полная непрозрачность транзакций. В отличие от Bitcoin, где можно проследить перемещение монет между адресами, Monero скрывает как адрес отправителя и получателя, так и сумму перевода.

Это делает ее привлекательной для злоумышленников, ведь невозможно отследить, куда именно попадают добытые средства. Именно поэтому ее часто выбирают для криптоджекинга, даркнет-операций и уклонения от мониторинга.

Почему заражение сайтов осталось незамеченным

Один из самых опасных аспектов этой кампании — практически полная невидимость. Злоумышленники использовали умеренную нагрузку на процессоры, а также не оставляли следов в системных логах.

Профессионально замаскированный код выглядел как часть обычного JS-фреймворка, а его загрузка происходила с уже легитимного домена.

"Скрипты были адаптированы для работы с минимальной мощностью. Это позволяло им оставаться в тени даже месяцами", — отмечают в c/side.

Во многих случаях владельцы сайтов даже не знали о заражении, пока аналитики c/side не провели глубокий анализ и не обнаружили общие сигнатуры скриптов на тысячах доменов.

Как защититься от скрытого майнинга на сайтах

Для пользователей основной совет — использовать браузеры с блокировкой скриптов и устанавливать расширения вроде NoCoin или uBlock Origin. Также стоит обновлять системы безопасности и антивирусы, которые уже начинают включать защиту от WebAssembly-майнеров.

Владельцам сайтов рекомендуется:

  • регулярно проверять целостность кода страниц;
  • использовать сканеры на сторонние скрипты;
  • обновлять CMS и плагины;
  • ограничивать доступ к административным панелям;
  • подключить Content Security Policy (CSP) для ограничения загрузки сторонних скриптов.

Что означает эта кампания для кибербезопасности в будущем

Сейчас очевидно, что злоумышленники переходят к менее заметным, но более масштабным способам заработка. И если вчера целью были банковские данные, то сегодня — вычислительные ресурсы пользователей. Это новый этап, где прибыль добывается не за счет краж, а через долговременное паразитирование на чужих системах.

"Эта кампания показала, что хакеры становятся все более осторожными и умными. Нам нужен другой уровень защиты, с фокусом не только на вмешательство, но и на скрытую активность", — считают аналитики c/side.

Недавно шуточный пост Илона Маска об арахисе в соцсети X вызвал внезапный рост цены криптовалюты Peanut (PNUT) на блокчейне Solana на 10%. Этот мем вызвал значительный ажиотаж среди трейдеров, что привело к стремительному росту объемов торгов и цены токена PNUT.

Также мы рассказывали, что в мае 2025 года криптовалютный сектор понес значительные потери от хакерских атак, достигшие 244,1 млн долл. в результате по меньшей мере 20 инцидентов. Хотя это на 39,29% меньше, чем в апреле, масштабы киберпреступности в этой области все еще вызывают серьезное беспокойство.